Peneliti cybersecurity telah menemukan versi terbaru dari malware android yang disebut Tgtoksik (alias Toxicpanda), menunjukkan bahwa aktor ancaman di baliknya terus -menerus membuat perubahan dalam menanggapi pelaporan publik.
“Modifikasi yang terlihat dalam muatan tgtoksik mencerminkan pengawasan intelijen open source yang sedang berlangsung dan menunjukkan komitmen mereka untuk meningkatkan kemampuan malware untuk meningkatkan langkah -langkah keamanan dan menjaga peneliti di teluk,” kata Intel 471 dalam sebuah laporan yang diterbitkan minggu ini.
Tgtoxic pertama kali didokumentasikan oleh Trend Micro pada awal 2023, menggambarkannya sebagai Trojan perbankan yang mampu mencuri kredensial dan dana dari dompet crypto serta aplikasi bank dan keuangan. Ini telah terdeteksi di alam liar sejak setidaknya Juli 2022, terutama berfokus pada pengguna seluler di Taiwan, Thailand, dan Indonesia.
Kemudian pada bulan November 2024, perusahaan pencegahan penipuan online Italia Cleafy merinci varian yang diperbarui dengan fitur pengumpulan data yang luas, sementara juga memperluas ruang lingkup operasionalnya untuk memasukkan Italia, Portugal, Hong Kong, Spanyol, dan Peru. Malware dinilai sebagai pekerjaan aktor ancaman berbahasa Cina.
Analisis terbaru Intel 471 telah menemukan bahwa malware didistribusikan melalui file APK dropper yang kemungkinan melalui pesan SMS atau situs web phishing. Namun, mekanisme pengiriman yang tepat masih belum diketahui.
Beberapa perbaikan penting termasuk peningkatan kemampuan deteksi emulator dan pembaruan untuk mekanisme generasi URL perintah-dan-kontrol (C2), menggarisbawahi upaya berkelanjutan untuk menghindari upaya analisis.
“Malware melakukan evaluasi menyeluruh terhadap perangkat keras dan kemampuan sistem perangkat untuk mendeteksi emulasi,” kata Intel 471. “Malware memeriksa serangkaian properti perangkat termasuk merek, model, produsen dan nilai sidik jari untuk mengidentifikasi perbedaan yang khas dari sistem yang ditiru.”
Perubahan signifikan lainnya adalah pergeseran dari domain C2 berkode keras yang tertanam dalam konfigurasi malware ke penggunaan forum seperti Forum Pengembang Komunitas Atlassian untuk membuat profil palsu yang menyertakan string terenkripsi yang menunjuk ke server C2 yang sebenarnya.
APK TGToxic dirancang untuk secara acak memilih salah satu URL forum komunitas yang disediakan dalam konfigurasi, yang berfungsi sebagai resolver drop mati untuk domain C2.
Teknik ini menawarkan beberapa keunggulan, yang paling penting adalah membuatnya lebih mudah bagi para aktor ancaman untuk mengubah server C2 dengan hanya memperbarui profil pengguna komunitas untuk menunjuk ke domain C2 yang baru tanpa harus mengeluarkan pembaruan apa pun pada malware itu sendiri.
“Metode ini sangat memperluas umur operasional sampel malware, menjaga mereka tetap fungsional selama profil pengguna di forum ini tetap aktif,” kata Intel 471.
Iterasi selanjutnya dari tgtoksik yang ditemukan pada bulan Desember 2024 melangkah lebih jauh, mengandalkan algoritma generasi domain (DGA) untuk membuat nama domain baru untuk digunakan sebagai server C2. Hal ini membuat malware lebih tangguh untuk upaya gangguan karena DGA dapat digunakan untuk membuat beberapa nama domain, memungkinkan penyerang untuk beralih ke domain baru bahkan jika beberapa diturunkan.
“Tgtoxic menonjol sebagai Trojan perbankan Android yang sangat canggih karena teknik anti-analisis canggih, termasuk kebingungan, enkripsi muatan, dan mekanisme anti-emulasi yang menghindari deteksi oleh alat keamanan,” kata CEO yang disetujui Miracco dalam sebuah pernyataan.
“Penggunaan strategi perintah-dan-kontrol dinamis (C2), seperti domain generasi algoritma (DGA), dan kemampuan otomatisasi memungkinkannya untuk membajak antarmuka pengguna, mencuri kredensial, dan melakukan transaksi yang tidak sah dengan stealth dan ketahanan terhadap penanggulangan penanggulangan.”
