Учится на публикациях: китайский троян TgToxic адаптируется к анализам экспертов

Исследователи в области кибербезопасности обнаружили обновлённую версию вредоносного ПО для Android под названием TgToxic (также известного как ToxicPanda). Эксперты отмечают, что злоумышленники, стоящие за этим трояном, постоянно вносят изменения в его код, оперативно реагируя на публикации аналитиков.

По данным Intel 471, модификации в коде TgToxic свидетельствуют о том, что его разработчики следят за открытыми источниками и активно работают над улучшением функционала, чтобы обойти системы защиты и затруднить анализ.

TgToxic был впервые описан компанией Trend Micro в начале 2023 года как банковский троян, способный красть учётные данные и средства из криптокошельков, а также приложений банков и финансовых сервисов. С июля 2022 года он активно распространяется среди пользователей мобильных устройств в Тайване, Таиланде и Индонезии.

В ноябре 2024 года итальянская компания Cleafy сообщила об обнаружении обновлённой версии трояна с расширенными функциями сбора данных. География атак также увеличилась: теперь под угрозой находятся пользователи в Италии, Португалии, Гонконге, Испании и Перу. По оценкам экспертов, за TgToxic стоит китаеязычная группа злоумышленников.

Согласно последнему анализу Intel 471, вредоносное ПО распространяется через APK-файлы, вероятно, с помощью SMS-сообщений или фишинговых сайтов. Точный механизм доставки пока остаётся неизвестным. Среди ключевых улучшений — усиленные возможности обнаружения эмуляторов и обновлённый механизм генерации URL-адресов для командных серверов (C2). Это позволяет трояну избегать анализа и оставаться незамеченным.

Одним из значимых изменений стал переход от жёстко заданных C2-доменов к использованию форумов, таких как сообщество разработчиков Atlassian. Злоумышленники создают поддельные профили с зашифрованными строками, указывающими на реальные C2-серверы.

Этот метод позволяет легко менять серверы, просто обновляя профили на форумах, что значительно увеличивает срок жизни вредоносного ПО. В декабре 2024 года были обнаружены новые версии TgToxic, использующие алгоритм генерации доменных имён (DGA), что делает троян ещё более устойчивым к блокировкам.

По словам CEO компании Approov Теда Миракко, TgToxic выделяется среди других Android-троянов благодаря продвинутым методам защиты от анализа, включая обфускацию, шифрование и механизмы антиэмуляции. Его динамические C2-стратегии и автоматизация позволяют красть данные и проводить несанкционированные транзакции с высокой скрытностью.