Gli sviluppatori di malware stanno continuando a migliorare le loro creazioni per eludere le analisi e i controlli di sicurezza. Un esempio recente di questo è il trojan bancario Android noto come TgToxic, anche conosciuto come ToxicPanda. Gli esperti di cybersecurity hanno trovato una nuova versione di questo malware, segnalando che i suoi creatori stanno apportando continui miglioramenti in risposta ai rapporti pubblici.

Storia e diffusione

TgToxic è stato originariamente documentato da Trend Micro all'inizio del 2023. Viene descritto come un trojan bancario capace di rubare credenziali e fondi dai portafogli crypto e dalle app bancarie e finanziarie. Il malware è stato attivo almeno dal luglio 2022, colpendo principalmente utenti mobili in Taiwan, Thailandia e Indonesia. Entro novembre 2024, una variante aggiornata è stata individuata con funzionalità di raccolta dati più ampie, espandendo il suo raggio d'azione a paesi come Italia, Portogallo, Hong Kong, Spagna e Perù.

Metodi di distribuzione e miglioramenti

Il recente rapporto di Intel 471 rivela che TgToxic viene distribuito attraverso file APK dropper, probabilmente tramite messaggi SMS o siti di phishing. Tuttavia, il metodo esatto di distribuzione rimane sconosciuto. Tra i miglioramenti notevoli figura la capacità migliorata di rilevamento degli emulatori e aggiornamenti al meccanismo di generazione degli URL di comando e controllo (C2), evidenziando gli sforzi continui per evitare le analisi.

Capacità di rilevamento e analisi

Il malware effettua una valutazione dettagliata dell'hardware e delle capacità di sistema del dispositivo per rilevare l'emulazione. Analizza proprietà del dispositivo come marca, modello, produttore e valori di impronta digitale per identificare discrepanze tipiche dei sistemi emulati. Un cambiamento significativo è il passaggio da domini C2 hard-coded a profili falsi su forum come quello degli sviluppatori Atlassian, che contengono una stringa crittografata puntando al server C2 reale.

Resistenza alle contromisure

Le iterazioni successive del malware, scoperte nel dicembre 2024, utilizzano un algoritmo di generazione dei domini (DGA) per creare nuovi nomi di dominio da usare come server C2, rendendo il malware più resistente agli sforzi di interruzione. Questo approccio consente agli attaccanti di passare a un nuovo dominio anche se alcuni vengono disattivati.

Sofisticazione del malware

TgToxic si distingue come un trojan bancario Android altamente sofisticato grazie alle sue tecniche avanzate di anti-analisi, inclusi l'offuscamento, la crittografia dei payload e i meccanismi anti-emulazione che evitano il rilevamento da parte degli strumenti di sicurezza. L'uso di strategie dinamiche di C2, come gli algoritmi di generazione dei domini, e le sue capacità di automazione gli consentono di dirottare le interfacce utente, rubare credenziali e eseguire transazioni non autorizzate con discrezione e resistenza alle contromisure.