Siber güvenlik araştırmacıları, Android kötü amaçlı yazılımların güncellenmiş bir sürümünü keşfettiler. Tgtoksik (aka Toxicpanda), arkasındaki tehdit aktörlerinin kamu raporlamasına yanıt olarak sürekli olarak değişiklik yaptığını gösteriyor.
Intel 471, bu hafta yayınlanan bir raporda, “TGToksik yüklerde görülen modifikasyonlar, aktörlerin açık kaynak istihbaratının devam eden gözetimini yansıtıyor ve kötü amaçlı yazılımların güvenlik önlemlerini iyileştirme ve araştırmacıları körfezde tutma yeteneklerini artırma taahhüdünü gösteriyor.” Dedi.
TGTOXic ilk olarak 2023’ün başlarında trend micro tarafından belgelendi ve onu kripto cüzdanlarından, banka ve finans uygulamalarından kimlik bilgilerini ve fonları çalabilen bir bankacılık truva atı olarak tanımlandı. En az Temmuz 2022’den beri vahşi doğada tespit edildi, esas olarak Tayvan, Tayland ve Endonezya’daki mobil kullanıcılara odaklandı.
Daha sonra Kasım 2024’te İtalyan çevrimiçi sahtekarlık önleme firması Cleafy, geniş kapsamlı veri toplama özelliklerine sahip güncellenmiş bir varyant detaylandırırken, aynı zamanda İtalya, Portekiz, Hong Kong, İspanya ve Peru’yu içerecek şekilde operasyonel kapsamını genişletti. Kötü amaçlı yazılım, Çince konuşan bir tehdit oyuncusunun çalışması olarak değerlendirilir.
Intel 471’in en son analizi, kötü amaçlı yazılımların, muhtemelen SMS mesajları veya kimlik avı web siteleri aracılığıyla damlacık APK dosyaları aracılığıyla dağıtıldığını buldu. Bununla birlikte, kesin dağıtım mekanizması bilinmemektedir.
Dikkate değer iyileştirmelerden bazıları, geliştirilmiş emülatör algılama yetenekleri ve komut ve kontrol (C2) URL üretim mekanizması ile ilgili güncellemeler, analiz çabalarını azaltmak için devam eden çabaların altını çizmektedir.
Intel 471, “Kötü amaçlı yazılım, emülasyonu tespit etmek için cihazın donanım ve sistem özelliklerinin kapsamlı bir değerlendirmesini yürütüyor.” Dedi. “Kötü amaçlı yazılım, taklit sistemlerde tipik olan tutarsızlıkları tanımlamak için marka, model, üretici ve parmak izi değerlerini içeren bir dizi cihaz özelliğini inceliyor.”
Bir diğer önemli değişiklik, gerçek C2 sunucusuna işaret eden şifreli bir dize içeren sahte profiller oluşturmak için kötü amaçlı yazılımların yapılandırmasına gömülü sert kodlu C2 alanlarından Atlassian Topluluk Geliştirici Forumu gibi forumları kullanmaya geçiştir.
TGToxic APK, C2 alanı için ölü bir damla çözümleyici görevi gören yapılandırmada sağlanan topluluk forumu URL’lerinden birini rastgele seçmek üzere tasarlanmıştır.
Teknik, çeşitli avantajlar sunar, en önemlisi, tehdit aktörlerinin, kötü amaçlı yazılımlarda herhangi bir güncelleme yapmak zorunda kalmadan yeni C2 alan adına işaret etmek için topluluk kullanıcı profilini güncelleyerek C2 sunucularını değiştirmesini kolaylaştırmasıdır.
Intel 471, “Bu yöntem, kötü amaçlı yazılım örneklerinin operasyonel ömrünü önemli ölçüde genişleterek, bu forumlardaki kullanıcı profilleri aktif kaldığı sürece onları işlevsel tutuyor.” Dedi.
Aralık 2024’te keşfedilen TGToxic’in sonraki yinelemeleri, C2 sunucuları olarak kullanılmak üzere yeni alan adları oluşturmak için bir alan üretimi algoritmasına (DGA) dayanarak bir adım daha ileri gider. Bu, DGA birkaç alan adı oluşturmak için kullanılabileceğinden, kötü amaçlı yazılımları bozulmaya daha dayanıklı hale getirir, bu da saldırganların bazıları kaldırılsa bile yeni bir alana geçmesine izin verir.
CEO Ted Miracco, “TGTOXic, gizemli, yük şifrelemesi ve güvenlik araçları tarafından tespitten kaçınan algılamadan kaçınan gelişmiş anti-analiz teknikleri nedeniyle son derece sofistike bir Android bankacılık Truva atı olarak öne çıkıyor.”
“Domain üretim algoritmaları (DGA) gibi dinamik komut ve kontrol (C2) stratejilerinin kullanılması ve otomasyon özellikleri, kullanıcı arayüzlerini ele geçirmesini, kimlik bilgilerini çalmasını ve karşı önlemlere karşı gizli ve esneklik ile yetkisiz işlemler gerçekleştirmesini sağlıyor.”