TgToxic, также известный как ToxicPanda, представляет собой банковский троян для Android, предназначенный для кражи учетных данных и денежных средств из банковских приложений и криптовалютных кошельков.
Зафиксированный Trend Micro в начале 2023 года и обнаруженный в дикой среде с июля 2022 года, троян первоначально нацеливался на пользователей из Тайваня, Таиланда и Индонезии.
По данным Intel 471, недавние изменения в полезной нагрузке TgToxic свидетельствуют о постоянном мониторинге открытых источников и совершенствовании мер обхода анализа исследователями.
В ноябре 2024 года итальянская компания Cleafy представила обновленный вариант, включающий расширенные возможности по сбору данных и охватывающий новые регионы – Италию, Португалию, Гонконг, Испанию и Перу. Отмечается, что разработкой нового варианта, вероятно, занимаются киберпреступники, владеющие китайским языком.
Ted Miracco, CEO компании Approov, подчеркнул: «TgToxic демонстрирует высокий уровень сложности благодаря передовым антианалитическим методам, динамическим стратегиям управления командами (включая использование алгоритмов генерации доменов) и автоматизации, что позволяет незаметно похищать элементы пользовательского интерфейса, учетные данные и инициировать несанкционированные транзакции».
Распространение TgToxic осуществляется посредством dropper APK-файлов, доставляемых через SMS-сообщения или фишинговые сайты, что позволяет варьировать методы атаки несмотря на неопределенность точного механизма доставки.
Технические усовершенствования включают детальное обнаружение эмуляторов через проверку характеристик устройства (бренд, модель, производитель, fingerprint) и использование фальшивых профилей на форумах, таких как Atlassian community developer forum. Эти профили содержат зашифрованные строки, указывающие на реальные командно-управляющие сервера и позволяют обновлять C2-сервер без изменения исходного кода трояна.
В декабре 2024 года введение алгоритма генерации доменов (DGA) повысило устойчивость TgToxic к мероприятиям по блокировке, а стандартный режим работы Google Play Protect продолжает защищать пользователей Android, обнаруживая и блокируя известные версии вредоносного ПО даже при установке приложений из сторонних источников.
Изображение носит иллюстративный характер
Зафиксированный Trend Micro в начале 2023 года и обнаруженный в дикой среде с июля 2022 года, троян первоначально нацеливался на пользователей из Тайваня, Таиланда и Индонезии.
По данным Intel 471, недавние изменения в полезной нагрузке TgToxic свидетельствуют о постоянном мониторинге открытых источников и совершенствовании мер обхода анализа исследователями.
В ноябре 2024 года итальянская компания Cleafy представила обновленный вариант, включающий расширенные возможности по сбору данных и охватывающий новые регионы – Италию, Португалию, Гонконг, Испанию и Перу. Отмечается, что разработкой нового варианта, вероятно, занимаются киберпреступники, владеющие китайским языком.
Ted Miracco, CEO компании Approov, подчеркнул: «TgToxic демонстрирует высокий уровень сложности благодаря передовым антианалитическим методам, динамическим стратегиям управления командами (включая использование алгоритмов генерации доменов) и автоматизации, что позволяет незаметно похищать элементы пользовательского интерфейса, учетные данные и инициировать несанкционированные транзакции».
Распространение TgToxic осуществляется посредством dropper APK-файлов, доставляемых через SMS-сообщения или фишинговые сайты, что позволяет варьировать методы атаки несмотря на неопределенность точного механизма доставки.
Технические усовершенствования включают детальное обнаружение эмуляторов через проверку характеристик устройства (бренд, модель, производитель, fingerprint) и использование фальшивых профилей на форумах, таких как Atlassian community developer forum. Эти профили содержат зашифрованные строки, указывающие на реальные командно-управляющие сервера и позволяют обновлять C2-сервер без изменения исходного кода трояна.
В декабре 2024 года введение алгоритма генерации доменов (DGA) повысило устойчивость TgToxic к мероприятиям по блокировке, а стандартный режим работы Google Play Protect продолжает защищать пользователей Android, обнаруживая и блокируя известные версии вредоносного ПО даже при установке приложений из сторонних источников.
