Разработчики вредоносной программы для Android, известной как TgToxic, усовершенствовали ее способы обхода автоматического анализа и сделали инфраструктуру более устойчивой, используя метод поиска C2-сервера через перебор доменов, созданных с помощью DGA.
Раньше TgToxic использовал заранее заданный список C2-адресов в своем коде. Позже он начал использовать список из 25 комьюнити-форумов, где злоумышленники создавали профили и публиковали конфигурационные данные в зашифрованном виде.
Новая версия этого банковского трояна, обнаруженная специалистами Intel 471 в конце прошлого года, использует DGA для поиска адресов C2. Этот метод усложняет выявление и блокировку серверов управления.
Когда TgToxic находит активный домен, он устанавливает соединение, отправляя HTTPS-запросы на порт 443. Для шифрования используется AES-ECB с паддингом по PKCS5. В ответ вредонос получает инструкцию переключиться на Websocket, указывая номер порта.
Новая версия программы также обладает множеством функций для определения виртуальной среды. Он проверяет аппаратную платформу и возможности системы, такие как наличие датчиков, Bluetooth и телефонии, чтобы выявить эмуляторы. Наличие QEMU или Genymotion (эмулятор Android) приводит к блокировке вредоносных функций.
Обновленный список банковских приложений, на которые направлен TgToxic, показывает расширение его интересов за пределы Юго-Восточной Азии на Европу и Латинскую Америку.
Эта мобильная угроза, известная специалистам по информационной безопасности с 2022 года, распространяется через СМС и сообщения в социальных сетях с вредоносными ссылками. Она часто маскируется под легитимные приложения, такие как банковские клиенты, мессенджеры и приложения для знакомств. Согласно Intel 471, образцы этой программы были замаскированы под Google Chrome.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
