HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一种名为 TgToxic(又名 ToxicPanda)的 Android 恶意软件的更新版本,这表明其背后的威胁行为者正在持续做出改变以应对公开报道。
“TgToxic 有效载荷中的修改反映了行为者对开源情报的持续监控,并展示了他们增强恶意软件功能以改进安全措施并使研究人员难以应对的承诺,”Intel 471 在本周发布的一份报告中表示。
TgToxic 最早由 Trend Micro 于 2023 年初记录,被描述为一种银行木马,能够从加密钱包以及银行和金融应用程序中窃取凭据和资金。自 2022 年 7 月以来,它已被检测到在野外出现,主要针对台湾、泰国和印度尼西亚的移动用户。
2024 年 11 月,意大利在线欺诈预防公司 Cleafy 详细描述了一种更新的变种,该变种具有广泛的数据收集功能,并将其操作范围扩展到意大利、葡萄牙、香港、西班牙和秘鲁。该恶意软件被认为是中国威胁行为者所为。
Intel 471 的最新分析发现,该恶意软件通过短信或钓鱼网站分发的 Dropper APK 文件进行传播。然而,确切的传播机制仍未知。
一些显著的改进包括增强了模拟器检测能力和更新了命令与控制(C2)URL 生成机制,突显了持续努力以规避分析。
“该恶意软件对设备的硬件和系统能力进行了彻底评估,以检测模拟,”Intel 471 表示。“该恶意软件检查了一组设备属性,包括品牌、型号、制造商和指纹值,以识别模拟系统中常见的差异。”
另一个重大变化是从嵌入恶意软件配置中的硬编码 C2 域名转向使用论坛(如 Atlassian 社区开发者论坛)创建虚假个人资料,其中包含指向实际 C2 服务器的加密字符串。
TgToxic APK 设计为随机选择配置中提供的社区论坛 URL 之一,该 URL 作为 C2 域名的死胡同解析器。
这种方法具有几个优势,最主要的是它使威胁行为者更容易通过简单地更新社区用户个人资料来指向新的 C2 域名,而无需对恶意软件本身进行任何更新。
“这种方法显著延长了恶意软件样本的使用寿命,只要这些论坛上的用户个人资料保持活跃,它们就能保持功能,”Intel 471 表示。
2024 年 12 月发现的 TgToxic 后续迭代版本更进一步,依赖于域生成算法(DGA)来创建用于 C2 服务器的新域名。这使恶意软件更能抵御破坏,因为 DGA 可以创建多个域名,即使某些域名被关闭,攻击者也可以切换到新域名。
“TgToxic 因其先进的反分析技术(包括混淆、有效载荷加密和反模拟机制)而脱颖而出,这些技术使其能够躲避安全工具的检测,”Approov 首席执行官 Ted Miracco 在一份声明中表示。“其使用动态命令与控制(C2)策略(如域生成算法(DGA))和自动化能力,使其能够劫持用户界面、窃取凭据并执行未经授权的交易,同时具备躲避反制措施的隐蔽性和弹性。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
