TgToxic: La Evolución de un Troyano Bancario con Mejoras Anti-Análisis

En el siempre cambiante mundo de la ciberseguridad, los investigadores han identificado una nueva versión del malware para Android conocido como TgToxic (también llamado ToxicPanda). Este descubrimiento subraya la constante evolución y adaptación de los ciberdelincuentes, quienes ajustan sus herramientas maliciosas en respuesta a los informes públicos y las medidas de seguridad.

TgToxic fue documentado por primera vez por Trend Micro a principios de 2023, describiéndolo como un troyano bancario capaz de robar credenciales y fondos tanto de carteras de criptomonedas como de aplicaciones bancarias y financieras. Desde al menos julio de 2022, ha estado activo principalmente en Taiwán, Tailandia e Indonesia. Sin embargo, en noviembre de 2024, la firma italiana de prevención de fraude en línea, Cleafy, detalló una variante actualizada con amplias capacidades de recopilación de datos, expandiendo su alcance operativo a Italia, Portugal, Hong Kong, España y Perú. Se cree que este malware es obra de un actor de amenazas de habla china.

La última investigación de Intel 471 revela que TgToxic se distribuye a través de archivos APK dropper, probablemente mediante mensajes SMS o sitios web de phishing, aunque el mecanismo exacto de entrega sigue siendo desconocido. Entre las mejoras notables se encuentran capacidades mejoradas de detección de emuladores y actualizaciones en el mecanismo de generación de URL de comando y control (C2), lo que subraya los esfuerzos continuos para evadir los esfuerzos de análisis.

El malware realiza una evaluación exhaustiva de las capacidades del hardware y del sistema del dispositivo para detectar la emulación. Examina un conjunto de propiedades del dispositivo, incluyendo la marca, el modelo, el fabricante y los valores de huella digital, para identificar discrepancias típicas de los sistemas emulados.

Otro cambio significativo es el cambio de dominios C2 codificados dentro de la configuración del malware al uso de foros como el foro de desarrolladores de la comunidad Atlassian para crear perfiles falsos que incluyen una cadena encriptada que apunta al servidor C2 real. El APK de TgToxic está diseñado para seleccionar aleatoriamente una de las URL de los foros comunitarios proporcionadas en la configuración, que sirve como un resolvedor de dead drop para el dominio C2.

Esta técnica ofrece varias ventajas, siendo la principal que facilita a los actores de amenazas cambiar los servidores C2 simplemente actualizando el perfil del usuario de la comunidad para apuntar al nuevo dominio C2 sin tener que emitir actualizaciones al malware en sí. Este método extiende considerablemente la vida operativa de las muestras de malware, manteniéndolas funcionales mientras los perfiles de usuario en estos foros permanezcan activos.

Las iteraciones posteriores de TgToxic descubiertas en diciembre de 2024 van un paso más allá, confiando en un algoritmo de generación de dominios (DGA) para crear nuevos nombres de dominio para su uso como servidores C2. Esto hace que el malware sea más resistente a los esfuerzos de interrupción, ya que el DGA puede usarse para crear varios nombres de dominio, permitiendo a los atacantes cambiar a un nuevo dominio incluso si algunos son eliminados.

TgToxic se destaca como un troyano bancario para Android altamente sofisticado debido a sus técnicas avanzadas de anti-análisis, incluyendo ofuscación, cifrado de carga útil y mecanismos anti-emulación que evitan la detección por herramientas de seguridad. Su uso de estrategias dinámicas de comando y control (C2), como algoritmos de generación de dominios (DGA), y sus capacidades de automatización le permiten secuestrar interfaces de usuario, robar credenciales y realizar transacciones no autorizadas con sigilo y resistencia contra contramedidas.

Tras la publicación de esta historia, un portavoz de Google compartió una declaración con The Hacker News, indicando que, basándose en su detección actual, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están automáticamente protegidos contra versiones conocidas de este malware por Google Play Protect, que está activado por defecto en dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones conocidas por exhibir comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play.

Este artículo fue actualizado después de su publicación para incluir una respuesta de Google.