{"id":7779,"date":"2025-03-19T22:40:03","date_gmt":"2025-03-19T21:40:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7779"},"modified":"2025-03-19T22:40:03","modified_gmt":"2025-03-19T21:40:03","slug":"android-bankarski-trojanac-tgtoxic-azuriran","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/","title":{"rendered":"Android bankarski trojanac TgToxic a\u017euriran"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Android<\/em> bankarski <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac <\/a><em>TgToxic<\/em> pretrpio je zna\u010dajna pobolj\u0161anja svoje zlonamjerne funkcionalnosti. Detaljna analiza sigurnosnih istra\u017eiva\u010da kompanije <em>Intel 471<\/em> <a href=\"https:\/\/intel471.com\/blog\/android-trojan-tgtoxic-updates-its-capabilities\" target=\"_blank\" rel=\"noopener\">otkriva<\/a> evoluciju ovog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> u sofisticiranog protivnika koji se neprestano prilago\u0111ava i pobolj\u0161ava svoje taktike kako bi izbjegao otkrivanje.<\/span><\/p>\n<div id=\"attachment_7780\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7780\" class=\"size-full wp-image-7780\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware.jpg\" alt=\"TgToxic\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/03\/TgToxic-Android-Malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7780\" class=\"wp-caption-text\"><em>Android bankarski trojanac TgToxic a\u017euriran; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#TGTOXIC\">TGTOXIC<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#Nove_verzije\">Nove verzije<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#Druga_verzija\">Druga verzija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#Treca_verzija\">Tre\u0107a verzija<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#Uticaj\">Uticaj<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/03\/19\/android-bankarski-trojanac-tgtoxic-azuriran\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"TGTOXIC\"><\/span><strong><em>TGTOXIC<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>TgToxic<\/em>, ozlogla\u0161eni <em>Android<\/em> bankarski trojanac koji je otkriven u julu 2022. godine, postao je ozlogla\u0161en zbog svojih nemilosrdnih a\u017euriranja i adaptacija kako bi se izbjegao otkrivanje. Prvobitno dizajnirana da ukrade korisni\u010dke akreditive, kriptovalute iz digitalnih nov\u010danika i sredstva iz bankarskih i finansijskih aplikacija, ovaj zlonamjerni softver je pokazao nevjerovatnu sposobnost da evoluira i unaprijedi svoje mogu\u0107nosti tokom vremena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prvo zna\u010dajno a\u017euriranje primijetili su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> u oktobru 2024. godine, <a href=\"https:\/\/sajberinfo.com\/en\/2024\/11\/16\/toxicpanda-android-bankarski-trojanac\/\" target=\"_blank\" rel=\"nofollow noopener\">verziju koju su nazvali <em>ToxicPanda<\/em><\/a>. Ova verzija je jo\u0161 uvijek pokazivala znake da je u razvoju, sa nekoliko nesprovedenih komandi i generalnim smanjenjem tehni\u010dke sofisticiranosti u pore\u0111enju sa prethodnikom. Me\u0111utim, to nije sprije\u010dilo operatere zlonamjernog softvera da nastave sa svojim planovima da pro\u0161ire svoj geografski domet. Uklju\u010divanje evropskih i latinoameri\u010dkih banaka na listu ciljanih aplikacija ukazivalo je na to da operateri zlonamjernog softvera \u017eele da pro\u0161ire svoj operativni fokus izvan jugoisto\u010dne Azije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Posmatranjem <em>TgToxic<\/em> zlonamjernog softvera postaje sve jasnije da <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> stalno prilago\u0111avaju svoje taktike kao odgovor na javno izve\u0161tavanje i mjere bezbjednosti koje sprovode sigurnosni istra\u017eiva\u010di. Ovome u prilog govori a\u017eurirana verzija iz novembra 2024. godine koja je\u00a0 bila u upotrebi samo nekoliko nedjelja pre nego \u0161to je zamijenjena jo\u0161 novijom varijantom, \u0161to dovoljno govori o agilnosti i brzoj reakciji zlonamjernih aktera. Jasno je da zlonamjerni akteri aktivno prate obavje\u0161tajne podatke otvorenog k\u00f4da i u skladu sa tim prilago\u0111avaju mogu\u0107nosti svog zlonamjernog softvera, pokazuju\u0107i posve\u0107enost da budu ispred bezbjednosnih mjera i sigurnosnih istra\u017eiva\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Nove_verzije\"><\/span><strong>Nove verzije<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Najnovije verzije <em>TgToxic<\/em> zlonamjernog softvera opremljene su naprednim tehnikama protiv emulacije kako bi se izbjeglo otkrivanje od strane automatizovanih sistema analize. Ove sofisticirane metode uklju\u010duju vi\u0161estruki pristup provjeri sistema, \u0161to sigurnosnim istra\u017eiva\u010dima i analiti\u010darima ote\u017eava da identifikuju prisustvo zlonamjernog softvera na <em>Android<\/em> ure\u0111ajima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan klju\u010dni aspekt ove pobolj\u0161ane mogu\u0107nosti detekcije emulatora je integracija vi\u0161estrukih provjera koje procjenjuju razli\u010dite aspekte hardverske i softverske konfiguracije ure\u0111aja. Zlonamjerni softver sprovodi iscrpnu procjenu mogu\u0107nosti ure\u0111aja, istra\u017euju\u0107i funkcije kao \u0161to su <em>Bluetooth<\/em> povezivanje, dostupnost senzora (npr. akcelerometar, \u017eiroskop) i telefonske usluge kao \u0161to su pristup mobilnoj mre\u017ei ili <em>Wi-Fi<\/em> funkcionalnost. Ova sveobuhvatna analiza omogu\u0107ava <em>TgToxic<\/em> zlonamjernom softveru da ta\u010dno utvrdi da li radi na originalnom <em>Android<\/em> ure\u0111aju ili emulatoru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, zlonamjerni softver tako\u0111e ispituje <em>CPU<\/em> arhitekturu ciljnog sistema, tra\u017ee\u0107i procesore koje obi\u010dno podr\u017eavaju emulatori kao \u0161to su <em>AMD<\/em> ili Intel \u010dipovi. Na taj na\u010din, <em>TgToxic<\/em> zlonamjerni softver mo\u017ee identifikovati potencijalna okru\u017eenja za emulaciju i u skladu sa tim preduzeti mjere izbjegavanja. Ovaj vi\u0161estruki pristup provjeri sistema nagla\u0161ava sofisticiranost antiemulacijskih mogu\u0107nosti zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza svojstava ure\u0111aja je jo\u0161 jedan klju\u010dni aspekt <em>TgToxic<\/em> pobolj\u0161ane mogu\u0107nosti otkrivanja emulatora. Zlonamjerni softver pomno ispituje skup klju\u010dnih atributa, uklju\u010duju\u0107i naziv brenda koji je povezan sa <em>Android<\/em> ure\u0111ajem da bi identifikovao neslaganja koja mogu ukazivati na emulaciju. Tako\u0111e ispituje broj modela i informacije o proizvo\u0111a\u010du koje daje ure\u0111aj.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored ovih sistemskih svojstava, <em>TgToxic<\/em> zlonamjerni softver tra\u017ei direktne indikatore emulacije. To mo\u017ee uklju\u010divati prisustvo <em>Quick<\/em> <em>Emulator<\/em> \u2013 <em>QEMU<\/em> ili <em>Genymotion<\/em> \u2013 specijalizovanih <em>Android<\/em> emulatora koji se koristi u razvojnim i testnim okru\u017eenjima \u2013 kao i generi\u010dke hardverske potpise, klju\u010deve za testiranje i specifi\u010dna imena emulatora poput \u201c<em>google_sdk<\/em>\u201d ili \u201c<em>vbox86p<\/em>\u201d. Otkrivanjem ovih znakova, zlonamjerni softver mo\u017ee da identifikuje potencijalne emulatore.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Druga_verzija\"><\/span><strong>Druga verzija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Evolucija konfiguracije <em>TgToxic<\/em> zlonamjernog softvera je zna\u010dajan aspekt njegovog razvoja kao sofisticiranog bankarskog trojanca. Prethodne verzije <em>TgToxic<\/em> zlonamjernog softvera su imale unaprijed kodirane <em>C2<\/em> domene i poddomene u konfiguraciji zlonamjernog softvera. Me\u0111utim, sa pojavom novih tehnika i strategija koje koriste zlonamjerni akteri <em>TgToxic<\/em> zlonamjernog softvera, ovaj pristup je postao zastareo i manje efikasan. U posljednje vreme, zlonamjerni akteri te\u017ee ka kori\u0161\u0107enju javnih usluga za skladi\u0161tenje konfiguracija <em>TgToxic<\/em> zlonamjernog softvera. Ovaj trend je primije\u0107en u razli\u010ditim verzijama ovog zlonamjernog softvera, po\u010dev\u0161i od druge verzije iz novembra 2024. godine. Upotreba dru\u0161tvenih internet foruma kao skrivenih lokacija za postavljanje komandne i kontrolne (<em>C2<\/em>) adrese je jedna takva strategija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prednosti kori\u0161\u0107enja ovog pristupa su vi\u0161estruke. Prvo, omogu\u0107ava zlonamjernim akterima da izbjegnu tro\u0161kove vezane za odr\u017eavanje sopstvene infrastrukture. Koriste\u0107i javne usluge, oni mogu u\u0161tedjeti na resursima i fokusirati se na kriti\u010dnije aspekte svog poslovanja. Drugo, kori\u0161tenje internet foruma kao skrivenih lokacija omogu\u0107ava im da iskoriste uo\u010deni legitimitet ovih platformi. Ova taktika poma\u017ee da se zaobi\u0111u bezbjednosne mjere koje bi mogle biti na snazi za otkrivanje zlonamjerne aktivnosti povezane sa <em>TgToxic<\/em> zlonamjernim softverom. Ovo pru\u017ea nivo fleksibilnosti i skalabilnosti koji je te\u0161ko posti\u0107i sa tradicionalnim <em>C2<\/em> domenima. Kada se server deaktivira ili skine, povezani <em>TgToxic<\/em> uzorci postaju beskorisni, jer se ne mogu povezati sa novim serverom bez a\u017eurirane adrese.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, primjenom tehnike skrivenih lokacija za postavljanje (<em>C2<\/em>) servera \u2013 strategije koja nije nova \u2013 zlonamjerni akteri mogu jednostavno da a\u017euriraju korisni\u010dki profil zajednice kako bi ukazali na novu <em>C2<\/em> adresu. Ovaj metod zna\u010dajno produ\u017eava radni vijek <em>TgToxic<\/em> verzijama, odr\u017eavaju\u0107i ih funkcionalnim sve dok su korisni\u010dki profili na ovim forumima aktivni.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Mehanika iza tehnike skrivenih lokacija za postavljanje (<em>C2<\/em>) servera koje koristi <em>TgToxic<\/em> zlonamjerni softver je prili\u010dno fascinantna i uklju\u010duje nekoliko koraka koji omogu\u0107avaju zlonamjernim akterima da efikasno odr\u017eavaju svoje operacije. Da bi generisali <em>C2<\/em> adresu sa skrivenih lokacija za postavljanje, <em>TgToxic<\/em> uzorci nasumi\u010dno biraju internet adresu foruma zajednice od onih koji su unaprijed kodirane u njegovu konfiguraciju. Kada zlonamjerni softver odabere odgovaraju\u0107u internet adresu, analizira sadr\u017eaj jezika za ozna\u010davanje hiperteksta (<em>HTML<\/em>) na stranici. Ovaj proces uklju\u010duje cijepanje <em>HTML<\/em> segmenata na odre\u0111enim grani\u010dnicima da bi se identifikovao i dohvatio <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovani<\/a> niz koji ukazuje na stvarni <em>C2<\/em> server koji koristi <em>TgToxic<\/em> zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0160ifrovanje<\/a> koje koriste <em>TgToxic<\/em> uzorci zasnovano je na algoritmu standarda za \u0161ifrovanje podataka (eng. <em>data encryption standard \u2013 DES<\/em>) u re\u017eimu ulan\u010davanja blokova \u0161ifrovanja (eng. <em>cipher block chaining \u2013 CBC<\/em>), zajedno sa \u0161emom <em>PKCS5Padding<\/em>. U svim posmatranim uzorcima <em>TgToxic<\/em> zlonamjernog softvera, konzistentan string \u201c<em>jp202411<\/em>\u201d je kori\u0161\u0107en i kao klju\u010d za \u0161ifrovanje i kao vektor za inicijalizaciju u svrhe de\u0161ifrovanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj pristup obezbje\u0111uje da \u010dak i ako se vi\u0161e instanci <em>TgToxic<\/em> zlonamjernog softvera primjenjuje istovremeno ili u razli\u010dito vreme, one i dalje mogu efikasno da komuniciraju koriste\u0107i ovaj zajedni\u010dki mehanizam \u0161ifrovanja. Upotreba standarda za \u0161ifrovanje podataka (<em>DES<\/em>) sa ulan\u010davanjem blokova \u0161ifrovanja (<em>CBC<\/em>) re\u017eimom pru\u017ea adekvatan nivo sigurnosti od potencijalnih napada uz istovremeno odr\u017eavanje relativno niskih tro\u0161kova ra\u010dunanja u pore\u0111enju sa modernijim kriptografskim tehnikama kao \u0161to je napredni standard \u0161ifrovanja (eng. <em>advanced encryption standard \u2013 AES<\/em>).<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Treca_verzija\"><\/span><strong>Tre\u0107a verzija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Posljednjih godina, zlonamjerni softver je postao sve sofisticiraniji, a zlonamjerni akteri su koristili razli\u010dite tehnike kako bi izbjegli da ih bezbjednosni sistemi otkriju. Jedna takva tehnika je kori\u0161tenje algoritama za generisanje domena (eng. <em>domain generation algorithms \u2013 DGA<\/em>), koji je prvi put identifikovan u tre\u0107oj varijanti <em>TgToxic<\/em> zlonamjernog softvera po\u010dev\u0161i od decembra 2024. godine. Ovaj razvoj ozna\u010dava zna\u010dajan pomak u na\u010dinu na koji zlonamjerni akteri upravljaju svojim kampanjama zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarni razlog za usvajanje algoritama za generisanje domena le\u017ei u njegovim brojnim prednostima u odnosu na tradicionalne adrese servera za komandu i kontrolu (<em>C2<\/em>). Za razliku od stati\u010dkih <em>IP<\/em> adresa ili imena domena, koje se lako mogu identifikovati i blokirati od strane sigurnosnih sistema, algoritmi za generisanje domena dinami\u010dki generi\u0161u vi\u0161estruka imena domena koja se koriste kao <em>C2<\/em> serveri. Ovaj pristup zna\u010dajno ote\u017eava braniocima da prate i ometaju komunikaciju izme\u0111u zlonamjernog softvera i njegovih operatera. Stalno mijenjaju\u0107i domene koji se koriste za komunikaciju, zlonamjerni akteri stvaraju pokretnu metu koju je te\u0161ko pogoditi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba algoritama za generisanje domena pove\u0107ava otpornost <em>TgToxic<\/em> zlonamjernog softvera, omogu\u0107avaju\u0107i im da se brzo prilagodi kao odgovor na bezbjednosne mjere koje preduzimaju bezbjednosni timovi. \u010cak i ako su neki generisani domeni identifikovani i blokirani, operateri zlonamjernog softvera mogu brzo da pre\u0111u na nove, obezbe\u0111uju\u0107i kontinuiranu komunikaciju izme\u0111u sebe i inficiranih ure\u0111aja. Ova tehnika je posebno efikasna, jer primorava branioce da stalno a\u017euriraju svoje liste za blokiranje ili rizikuju da propuste novogenerisana imena domena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>TgToxic<\/em> zlonamjerni softver pokazuje strategiju sekvencijalnog poku\u0161aja povezivanja kada poku\u0161ava da uspostavi kontakt sa svojim <em>C2<\/em> serverom. Po\u010dev\u0161i od \u201c<em>.com<\/em>\u201d domena najvi\u0161eg nivoa (eng. <em>top-level domain \u2013 TLD<\/em>), on uzastopno poku\u0161ava da se pove\u017ee sa svakim generisanim domenom dok se jednim uspje\u0161no ne uspostavi komunikacija. Ovaj pristup obezbje\u0111uje da \u010dak i ako su neki domeni uklonjeni ili blokirani, uvijek \u0107e biti drugi dostupni za kori\u0161\u0107enje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj\"><\/span><strong>Uticaj<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Uticaj <em>Android<\/em> trojanca <em>TgToxic<\/em> zlonamjernog softvera koji a\u017eurira svoje mogu\u0107nosti predstavlja zna\u010dajnu zabrinutost i za korisnike i za organizacije, posebno one u finansijskom sektoru. Kako ovaj zlonamjerni softver nastavlja da se razvija i pobolj\u0161ava svoje bezbjednosne mjere, on predstavlja sve napredniju prijetnju za mobilne ure\u0111aje i njihove korisnike.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna od glavnih briga ove a\u017eurirane verzije <em>TgToxic<\/em> zlonamjernog softvera je njena sposobnost da ukrade korisni\u010dke akreditive, kriptovalute iz digitalnih nov\u010danika i sredstva iz bankarskih i finansijskih aplikacija. To zna\u010di da su korisnici koji su instalirali zlonamjerne ili kompromitovane aplikacije na svojim ure\u0111ajima izlo\u017eeni riziku da im zlonamjerni akteri ukradu osjetljive informacije. Pored toga, kako <em>TgToxic<\/em> zlonamjerni softver nastavlja da se razvija, on tako\u0111e mo\u017ee postati vje\u0161tiji u izbjegavanju otkrivanja od strane bezbjednosnog softvera, \u0161to ote\u017eava korisnicima da identifikuju i uklone zlonamjerni softver sa svojih ure\u0111aja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uticaj na organizacije je podjednako zabrinjavaju\u0107i, posebno na one u finansijskom sektoru koji se u velikoj mjeri oslanjaju na aplikacije za mobilno bankarstvo i druge digitalne usluge. Kako <em>TgToxic<\/em> zlonamjerni softver nastavlja da unapre\u0111uje svoje mogu\u0107nosti, ovim organizacijama mo\u017ee postati te\u017ee da se za\u0161tite od ove prijetnje. To mo\u017ee dovesti do zna\u010dajnih gubitaka zbog ukradenih sredstava ili kompromitovanih korisni\u010dkih podataka, kao i do \u0161tete po njihovu reputaciju i imid\u017e brenda.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored finansijskih implikacija uspje\u0161nog napada <em>TgToxic<\/em> zlonamjernog softvera, postoje i potencijalni rizici za reputaciju sa kojima se organizacije mogu suo\u010diti ako ne preduzmu adekvatne mjere da se za\u0161tite od ove prijetnje. Kako potro\u0161a\u010di postaju sve svjesniji prijetnji u <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> kao \u0161to je <em>TgToxic<\/em> zlonamjerni softver, oni koji nisu preduzeli dovoljno koraka da za\u0161tite svoje podatke i sisteme rizikuju da izgube povjerenje svojih kupaca.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">\u010cinjenica da izvje\u0161taji o izmjenama u <em>TgToxic<\/em> zlonamjernom softveru postaju sve \u010de\u0161\u0107i, \u0161to ukazuje na nivo sofisticiranosti me\u0111u zlonamjernim akterima. To zna\u010di da organizacije moraju biti proaktivne u preduzimanju mjera da se za\u0161tite od ove prijetnje, umjesto da jednostavno reaguju nakon \u0161to se napad dogodi. Informisanjem o novim prijetnjama kao \u0161to je <em>TgToxic<\/em> zlonamjerni softver i primjenom robusnih bezbjednosnih protokola, organizacije mogu da smanje svoju izlo\u017eenost riziku.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Nedavna analiza sigurnosnih istra\u017eiva\u010da\u00a0 o prijetnjama skrenula je pa\u017enju na evoluiraju\u0107u prirodu ozlogla\u0161enog Android zlonamjernog softvera, nazvanog <em>TgToxic<\/em>. Ovaj bankarski trojanac, koji je otkriven u julu 2022. godine, kontinuirano se a\u017eurira kako bi izbjegao otkrivanje i pobolj\u0161ao svoje zlonamjerne mogu\u0107nosti. Najnovija verzija otkrivena u digitalnom prostoru prikazuje zna\u010dajne nadogradnje taktike izbjegavanja i obima napada, nagla\u0161avaju\u0107i nemilosrdne napore zlonamjernih aktera koji stoje iza ovog zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>TgToxic<\/em> <em>Android<\/em> trojanac za kra\u0111u informacija prvobitno je dizajniran sa posebnim fokusom na korisnike jugoisto\u010dne Azije, me\u0111utim, njegova a\u017eurirana verzija je pro\u0161irila svoj geografski domet na Evropu i Latinsku Ameriku. Ova ekspanzija je svjedo\u010danstvo prilagodljivosti zlonamjernih aktera koji kontinuirano prate obavje\u0161tajne podatke otvorenog k\u00f4da kako bi pobolj\u0161ali mogu\u0107nosti svog zlonamjernog softvera. Izmjene koje se vide u <em>TgToxic<\/em> verzijama zlonamjernog softvera odra\u017eavaju stalni nadzor nad javnim izve\u0161tavanjem od strane sigurnosnih istra\u017eiva\u010da i analiti\u010dara, pokazuju\u0107i posve\u0107enost zlonamjernih aktera da budu ispred bezbjednosnih mjera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Implikacije ove a\u017eurirane verzije su dalekose\u017ene i zahtevaju hitnu pa\u017enju korisnika mobilnih ure\u0111aja \u0161irom sveta. Kako okru\u017eenje prijetnji nastavlja da se razvija vrtoglavim tempom, od su\u0161tinskog je zna\u010daja za pojedince i organizacije da ostanu na oprezu u za\u0161titi od ovako sofisticiranih prijetnji zlonamjernog softvera. Redovna obuka o sajber bezbjednosti, pra\u0107enje indikatora kompromisa (eng. <em>indicators of compromise \u2013 IoC<\/em>) i stalna svest o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>i zlonamjernim <em>SMS<\/em> porukama su klju\u010dni koraci ka ubla\u017eavanju ovih rizika. Ostaju\u0107i informisani i proaktivni, korisnici organizacije mogu se kolektivno boriti protiv rastu\u0107e prijetnje koju predstavljaju <em>TgToxic<\/em> i sli\u010dni <em>Android<\/em> trojanci koji nastoje da iskoriste ranjivosti na mobilnim <em>Android<\/em> ure\u0111ajima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Evo nekoliko preporuka za za\u0161titu od <em>TgToxic <\/em>Android trojanca za kra\u0111u informacija:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Organizacije treba da sprovode strogu politiku dozvoljavanja instaliranja aplikacija samo iz pouzdanih izvora, kao \u0161to je <em>Google<\/em> <em>Play<\/em> Ovo \u0107e sprije\u010diti korisnike da instaliraju zlonamjerne aplikacije kao \u0161to je <em>TgToxic<\/em> koje se mo\u017eda maskiraju kao legitimni softver. Ograni\u010davanjem nepoznatih izvora, organizacije mogu zna\u010dajno smanjiti svoju izlo\u017eenost sajber prijetnjama;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Rje\u0161enja za odbranu od mobilnih prijetnji (eng. <em>mobile threat defense \u2013 MTD<\/em>) su dizajnirana posebno za mobilne ure\u0111aje i pru\u017eaju za\u0161titu u realnom vremenu od zlonamjernog softvera, uklju\u010duju\u0107i napredne prijetnje kao \u0161to je <em>TgToxic<\/em> zlonamjerni softver. Rje\u0161enja za odbranu od mobilnih prijetnji koriste algoritme ma\u0161inskog u\u010denja za otkrivanje i blokiranje zlonamjernih aplikacija pre nego \u0161to imaju \u0161ansu da nanesu \u0161tetu. Primjenom ovih rje\u0161enja, organizacije mogu da obezbijede da mobilni ure\u0111aji zaposlenih budu za\u0161ti\u0107eni \u010dak i od najsofisticiranijih sajber napada;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovna obuka o sajber bezbjednosti je neophodna za edukaciju zaposlenih o tome kako da identifikuju i izbjegnu <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>poku\u0161aje i druge vrste taktika dru\u0161tvenog in\u017eenjeringa koje koriste zlonamjerni akteri poput onih koji stoje iza <em>TgToxic<\/em> zlonamjernog softvera. Pru\u017eaju\u0107i redovne sesije obuke, organizacije mogu osigurati da su zaposleni svjesni najnovijih prijetnji i da znaju koje korake treba da preduzmu da bi se za\u0161titili;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Rje\u0161enja za upravljanje mobilnim ure\u0111ajima (eng. <em>mobile device management \u2013 MDM<\/em>) pru\u017eaju centralizovan na\u010din za <em>IT<\/em> administratore da upravljaju mobilnim ure\u0111ajima \u0161irom organizacije. Rje\u0161enja za upravljanje mobilnim ure\u0111ajima omogu\u0107avaju administratorima da daljinski bri\u0161u podatke, zaklju\u010davaju ure\u0111aje i primjenjuju bezbjednosne smjernice na korisni\u010dkim ure\u0111ajima. Implementacijom rje\u0161enja za upravljanje mobilnim ure\u0111ajima, organizacije mogu da obezbijede da mobilni ure\u0111aji zaposlenih budu bezbjedni i u skladu sa smjernicama organizacije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici treba da budu oprezni kada instaliraju aplikacije i da obrate veliku pa\u017enju na dozvole koje zahteva svaka aplikacija. Ako aplikacija zahteva prevelike ili neobi\u010dne dozvole, to mo\u017ee biti znak zlonamjerne aktivnosti koja poku\u0161ava da dobije pristup osjetljivim podacima na ure\u0111aju. Korisnici mogu da provjere koje dozvole se koriste gledaju\u0107i meni za pode\u0161avanja svog telefona;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Organizacije treba da implementiraju rje\u0161enja za proaktivno pra\u0107enje koja skeniraju korisni\u010dke ure\u0111aje i mre\u017ee u potrazi za znakovima kompromitovanja, kao \u0161to su sumnjiva mre\u017ena aktivnost ili neobi\u010dno pona\u0161anje sistema. Ranim otkrivanjem ovih indikatora, organizacije mogu preduzeti brze mjere da obuzdaju prijetnju pre nego \u0161to se dalje pro\u0161iri;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjena robusnih bezbjednosnih mjera je od su\u0161tinskog zna\u010daja za za\u0161titu od naprednih prijetnji kao \u0161to je <em>TgToxic<\/em> zlonamjerni softver. Ovo uklju\u010duje kori\u0161\u0107enje jakih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> i omogu\u0107avanje autentifikaciju u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) kad god je to mogu\u0107e. Organizacije tako\u0111e treba da obezbijede da se sav softver, uklju\u010duju\u0107i mobilne aplikacije, a\u017eurira sa najnovijim ispravkama;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovna a\u017euriranja mobilnih aplikacija mogu pomo\u0107i u za\u0161titi od ranjivosti koje koriste zlonamjerni akteri poput onih koji stoje iza <em>TgToxic<\/em> zlonamjernog softvera. Korisnici i organizacije treba redovno da provjere da li postoje a\u017euriranja aplikacija u prodavnicama aplikacija (npr. <em>Google Play<\/em> prodavnica) i da ih instaliraju \u0161to je prije mogu\u0107e;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prilikom razmjene osjetljivih informacija, korisnici treba da koriste bezbjedne kanale komunikacije kao \u0161to su \u0161ifrovane aplikacije za razmjenu poruka ili usluge elektronske po\u0161te koje nude enkripciju od kraja do kraja (eng. <em>end-to-end encryption \u2013 E2EE<\/em>). Ovo \u0107e pomo\u0107i u spre\u010davanju zlonamjernih aktera da presretnu komunikacije i do\u0111u do osjetljivih podataka poput akreditiva za prijavu i sli\u010dnih podataka;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Organizacije bi trebalo da imaju <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">planove odgovora na sajber prijetnju<\/a> za brzo i efikasno reagovanje kada do\u0111e do ugro\u017eavanja bezbjednosti. Ovi planovi treba da sadr\u017ee procedure za obuzdavanje prijetnje, obavje\u0161tavanje pogo\u0111enih strana (ako je potrebno) i sprovo\u0111enje analize nakon incidenta da bi se identifikovala podru\u010dja za pobolj\u0161anja.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Primjenom ovih preporuka, korisnici i organizacije mogu zna\u010dajno da smanje svoju izlo\u017eenost prijetnjama kao \u0161to je <em>TgToxic<\/em> zlonamjerni softver i da ostanu ispred prijetnji u dana\u0161njem digitalnom okru\u017eenju koje se brzo razvija.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Android bankarski trojanac TgToxic pretrpio je zna\u010dajna pobolj\u0161anja svoje zlonamjerne funkcionalnosti. Detaljna analiza sigurnosnih istra\u017eiva\u010da kompanije Intel 471 otkriva evoluciju ovog zlonamjernog softvera u sofisticiranog protivnika koji se neprestano prilago\u0111ava i pobolj\u0161ava svoje taktike&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7780,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1211,651,1297,2811,2808,2810,2807,993,1372,2809,2806,2812],"class_list":["post-7779","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android-malware","tag-banking-trojan","tag-c2-servers","tag-domain-generation-algorithm","tag-emulator-detection","tag-genymotion","tag-malware-evolution","tag-mobile-security","tag-phishing-campaigns","tag-qemu","tag-tgtoxic","tag-threat-actor-adaptation"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7779","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7779"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7779\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7780"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7779"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7779"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7779"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}