Android bankarski trojanac TgToxic ažuriran

Android bankarski trojanac TgToxic pretrpio je značajna poboljšanja svoje zlonamjerne funkcionalnosti. Detaljna analiza sigurnosnih istraživača kompanije Intel 471 otkriva evoluciju ovog zlonamjernog softvera u sofisticiranog protivnika koji se neprestano prilagođava i poboljšava svoje taktike kako bi izbjegao otkrivanje.

TGTOXIC

TgToxic, ozloglašeni Android bankarski trojanac koji je otkriven u julu 2022. godine, postao je ozloglašen zbog svojih nemilosrdnih ažuriranja i adaptacija kako bi se izbjegao otkrivanje. Prvobitno dizajnirana da ukrade korisničke akreditive, kriptovalute iz digitalnih novčanika i sredstva iz bankarskih i finansijskih aplikacija, ovaj zlonamjerni softver je pokazao nevjerovatnu sposobnost da evoluira i unaprijedi svoje mogućnosti tokom vremena.

Prvo značajno ažuriranje primijetili su sigurnosni istraživači u oktobru 2024. godine, verziju koju su nazvali ToxicPanda. Ova verzija je još uvijek pokazivala znake da je u razvoju, sa nekoliko nesprovedenih komandi i generalnim smanjenjem tehničke sofisticiranosti u poređenju sa prethodnikom. Međutim, to nije spriječilo operatere zlonamjernog softvera da nastave sa svojim planovima da prošire svoj geografski domet. Uključivanje evropskih i latinoameričkih banaka na listu ciljanih aplikacija ukazivalo je na to da operateri zlonamjernog softvera žele da prošire svoj operativni fokus izvan jugoistočne Azije.

Posmatranjem TgToxic zlonamjernog softvera postaje sve jasnije da zlonamjerni akteri stalno prilagođavaju svoje taktike kao odgovor na javno izveštavanje i mjere bezbjednosti koje sprovode sigurnosni istraživači. Ovome u prilog govori ažurirana verzija iz novembra 2024. godine koja je  bila u upotrebi samo nekoliko nedjelja pre nego što je zamijenjena još novijom varijantom, što dovoljno govori o agilnosti i brzoj reakciji zlonamjernih aktera. Jasno je da zlonamjerni akteri aktivno prate obavještajne podatke otvorenog kôda i u skladu sa tim prilagođavaju mogućnosti svog zlonamjernog softvera, pokazujući posvećenost da budu ispred bezbjednosnih mjera i sigurnosnih istraživača.

 

Nove verzije

Najnovije verzije TgToxic zlonamjernog softvera opremljene su naprednim tehnikama protiv emulacije kako bi se izbjeglo otkrivanje od strane automatizovanih sistema analize. Ove sofisticirane metode uključuju višestruki pristup provjeri sistema, što sigurnosnim istraživačima i analitičarima otežava da identifikuju prisustvo zlonamjernog softvera na Android uređajima.

Jedan ključni aspekt ove poboljšane mogućnosti detekcije emulatora je integracija višestrukih provjera koje procjenjuju različite aspekte hardverske i softverske konfiguracije uređaja. Zlonamjerni softver sprovodi iscrpnu procjenu mogućnosti uređaja, istražujući funkcije kao što su Bluetooth povezivanje, dostupnost senzora (npr. akcelerometar, žiroskop) i telefonske usluge kao što su pristup mobilnoj mreži ili Wi-Fi funkcionalnost. Ova sveobuhvatna analiza omogućava TgToxic zlonamjernom softveru da tačno utvrdi da li radi na originalnom Android uređaju ili emulatoru.

Pored toga, zlonamjerni softver takođe ispituje CPU arhitekturu ciljnog sistema, tražeći procesore koje obično podržavaju emulatori kao što su AMD ili Intel čipovi. Na taj način, TgToxic zlonamjerni softver može identifikovati potencijalna okruženja za emulaciju i u skladu sa tim preduzeti mjere izbjegavanja. Ovaj višestruki pristup provjeri sistema naglašava sofisticiranost antiemulacijskih mogućnosti zlonamjernog softvera.

Analiza svojstava uređaja je još jedan ključni aspekt TgToxic poboljšane mogućnosti otkrivanja emulatora. Zlonamjerni softver pomno ispituje skup ključnih atributa, uključujući naziv brenda koji je povezan sa Android uređajem da bi identifikovao neslaganja koja mogu ukazivati na emulaciju. Takođe ispituje broj modela i informacije o proizvođaču koje daje uređaj.

Pored ovih sistemskih svojstava, TgToxic zlonamjerni softver traži direktne indikatore emulacije. To može uključivati prisustvo Quick Emulator – QEMU ili Genymotion – specijalizovanih Android emulatora koji se koristi u razvojnim i testnim okruženjima – kao i generičke hardverske potpise, ključeve za testiranje i specifična imena emulatora poput “google_sdk” ili “vbox86p”. Otkrivanjem ovih znakova, zlonamjerni softver može da identifikuje potencijalne emulatore.

 

Druga verzija

Evolucija konfiguracije TgToxic zlonamjernog softvera je značajan aspekt njegovog razvoja kao sofisticiranog bankarskog trojanca. Prethodne verzije TgToxic zlonamjernog softvera su imale unaprijed kodirane C2 domene i poddomene u konfiguraciji zlonamjernog softvera. Međutim, sa pojavom novih tehnika i strategija koje koriste zlonamjerni akteri TgToxic zlonamjernog softvera, ovaj pristup je postao zastareo i manje efikasan. U posljednje vreme, zlonamjerni akteri teže ka korišćenju javnih usluga za skladištenje konfiguracija TgToxic zlonamjernog softvera. Ovaj trend je primijećen u različitim verzijama ovog zlonamjernog softvera, počevši od druge verzije iz novembra 2024. godine. Upotreba društvenih internet foruma kao skrivenih lokacija za postavljanje komandne i kontrolne (C2) adrese je jedna takva strategija.

Prednosti korišćenja ovog pristupa su višestruke. Prvo, omogućava zlonamjernim akterima da izbjegnu troškove vezane za održavanje sopstvene infrastrukture. Koristeći javne usluge, oni mogu uštedjeti na resursima i fokusirati se na kritičnije aspekte svog poslovanja. Drugo, korištenje internet foruma kao skrivenih lokacija omogućava im da iskoriste uočeni legitimitet ovih platformi. Ova taktika pomaže da se zaobiđu bezbjednosne mjere koje bi mogle biti na snazi za otkrivanje zlonamjerne aktivnosti povezane sa TgToxic zlonamjernim softverom. Ovo pruža nivo fleksibilnosti i skalabilnosti koji je teško postići sa tradicionalnim C2 domenima. Kada se server deaktivira ili skine, povezani TgToxic uzorci postaju beskorisni, jer se ne mogu povezati sa novim serverom bez ažurirane adrese.

Međutim, primjenom tehnike skrivenih lokacija za postavljanje (C2) servera – strategije koja nije nova – zlonamjerni akteri mogu jednostavno da ažuriraju korisnički profil zajednice kako bi ukazali na novu C2 adresu. Ovaj metod značajno produžava radni vijek TgToxic verzijama, održavajući ih funkcionalnim sve dok su korisnički profili na ovim forumima aktivni.

Mehanika iza tehnike skrivenih lokacija za postavljanje (C2) servera koje koristi TgToxic zlonamjerni softver je prilično fascinantna i uključuje nekoliko koraka koji omogućavaju zlonamjernim akterima da efikasno održavaju svoje operacije. Da bi generisali C2 adresu sa skrivenih lokacija za postavljanje, TgToxic uzorci nasumično biraju internet adresu foruma zajednice od onih koji su unaprijed kodirane u njegovu konfiguraciju. Kada zlonamjerni softver odabere odgovarajuću internet adresu, analizira sadržaj jezika za označavanje hiperteksta (HTML) na stranici. Ovaj proces uključuje cijepanje HTML segmenata na određenim graničnicima da bi se identifikovao i dohvatio šifrovani niz koji ukazuje na stvarni C2 server koji koristi TgToxic zlonamjerni softver.

Šifrovanje koje koriste TgToxic uzorci zasnovano je na algoritmu standarda za šifrovanje podataka (eng. data encryption standard – DES) u režimu ulančavanja blokova šifrovanja (eng. cipher block chaining – CBC), zajedno sa šemom PKCS5Padding. U svim posmatranim uzorcima TgToxic zlonamjernog softvera, konzistentan string “jp202411” je korišćen i kao ključ za šifrovanje i kao vektor za inicijalizaciju u svrhe dešifrovanja.

Ovaj pristup obezbjeđuje da čak i ako se više instanci TgToxic zlonamjernog softvera primjenjuje istovremeno ili u različito vreme, one i dalje mogu efikasno da komuniciraju koristeći ovaj zajednički mehanizam šifrovanja. Upotreba standarda za šifrovanje podataka (DES) sa ulančavanjem blokova šifrovanja (CBC) režimom pruža adekvatan nivo sigurnosti od potencijalnih napada uz istovremeno održavanje relativno niskih troškova računanja u poređenju sa modernijim kriptografskim tehnikama kao što je napredni standard šifrovanja (eng. advanced encryption standard – AES).

 

Treća verzija

Posljednjih godina, zlonamjerni softver je postao sve sofisticiraniji, a zlonamjerni akteri su koristili različite tehnike kako bi izbjegli da ih bezbjednosni sistemi otkriju. Jedna takva tehnika je korištenje algoritama za generisanje domena (eng. domain generation algorithms – DGA), koji je prvi put identifikovan u trećoj varijanti TgToxic zlonamjernog softvera počevši od decembra 2024. godine. Ovaj razvoj označava značajan pomak u načinu na koji zlonamjerni akteri upravljaju svojim kampanjama zlonamjernog softvera.

Primarni razlog za usvajanje algoritama za generisanje domena leži u njegovim brojnim prednostima u odnosu na tradicionalne adrese servera za komandu i kontrolu (C2). Za razliku od statičkih IP adresa ili imena domena, koje se lako mogu identifikovati i blokirati od strane sigurnosnih sistema, algoritmi za generisanje domena dinamički generišu višestruka imena domena koja se koriste kao C2 serveri. Ovaj pristup značajno otežava braniocima da prate i ometaju komunikaciju između zlonamjernog softvera i njegovih operatera. Stalno mijenjajući domene koji se koriste za komunikaciju, zlonamjerni akteri stvaraju pokretnu metu koju je teško pogoditi.

Upotreba algoritama za generisanje domena povećava otpornost TgToxic zlonamjernog softvera, omogućavajući im da se brzo prilagodi kao odgovor na bezbjednosne mjere koje preduzimaju bezbjednosni timovi. Čak i ako su neki generisani domeni identifikovani i blokirani, operateri zlonamjernog softvera mogu brzo da pređu na nove, obezbeđujući kontinuiranu komunikaciju između sebe i inficiranih uređaja. Ova tehnika je posebno efikasna, jer primorava branioce da stalno ažuriraju svoje liste za blokiranje ili rizikuju da propuste novogenerisana imena domena.

Pored toga, TgToxic zlonamjerni softver pokazuje strategiju sekvencijalnog pokušaja povezivanja kada pokušava da uspostavi kontakt sa svojim C2 serverom. Počevši od “.com” domena najvišeg nivoa (eng. top-level domain – TLD), on uzastopno pokušava da se poveže sa svakim generisanim domenom dok se jednim uspješno ne uspostavi komunikacija. Ovaj pristup obezbjeđuje da čak i ako su neki domeni uklonjeni ili blokirani, uvijek će biti drugi dostupni za korišćenje.

 

Uticaj

Uticaj Android trojanca TgToxic zlonamjernog softvera koji ažurira svoje mogućnosti predstavlja značajnu zabrinutost i za korisnike i za organizacije, posebno one u finansijskom sektoru. Kako ovaj zlonamjerni softver nastavlja da se razvija i poboljšava svoje bezbjednosne mjere, on predstavlja sve napredniju prijetnju za mobilne uređaje i njihove korisnike.

Jedna od glavnih briga ove ažurirane verzije TgToxic zlonamjernog softvera je njena sposobnost da ukrade korisničke akreditive, kriptovalute iz digitalnih novčanika i sredstva iz bankarskih i finansijskih aplikacija. To znači da su korisnici koji su instalirali zlonamjerne ili kompromitovane aplikacije na svojim uređajima izloženi riziku da im zlonamjerni akteri ukradu osjetljive informacije. Pored toga, kako TgToxic zlonamjerni softver nastavlja da se razvija, on takođe može postati vještiji u izbjegavanju otkrivanja od strane bezbjednosnog softvera, što otežava korisnicima da identifikuju i uklone zlonamjerni softver sa svojih uređaja.

Uticaj na organizacije je podjednako zabrinjavajući, posebno na one u finansijskom sektoru koji se u velikoj mjeri oslanjaju na aplikacije za mobilno bankarstvo i druge digitalne usluge. Kako TgToxic zlonamjerni softver nastavlja da unapređuje svoje mogućnosti, ovim organizacijama može postati teže da se zaštite od ove prijetnje. To može dovesti do značajnih gubitaka zbog ukradenih sredstava ili kompromitovanih korisničkih podataka, kao i do štete po njihovu reputaciju i imidž brenda.

Pored finansijskih implikacija uspješnog napada TgToxic zlonamjernog softvera, postoje i potencijalni rizici za reputaciju sa kojima se organizacije mogu suočiti ako ne preduzmu adekvatne mjere da se zaštite od ove prijetnje. Kako potrošači postaju sve svjesniji prijetnji u sajber bezbjednosti kao što je TgToxic zlonamjerni softver, oni koji nisu preduzeli dovoljno koraka da zaštite svoje podatke i sisteme rizikuju da izgube povjerenje svojih kupaca.

Činjenica da izvještaji o izmjenama u TgToxic zlonamjernom softveru postaju sve češći, što ukazuje na nivo sofisticiranosti među zlonamjernim akterima. To znači da organizacije moraju biti proaktivne u preduzimanju mjera da se zaštite od ove prijetnje, umjesto da jednostavno reaguju nakon što se napad dogodi. Informisanjem o novim prijetnjama kao što je TgToxic zlonamjerni softver i primjenom robusnih bezbjednosnih protokola, organizacije mogu da smanje svoju izloženost riziku.

 

ZAKLJUČAK

Nedavna analiza sigurnosnih istraživača  o prijetnjama skrenula je pažnju na evoluirajuću prirodu ozloglašenog Android zlonamjernog softvera, nazvanog TgToxic. Ovaj bankarski trojanac, koji je otkriven u julu 2022. godine, kontinuirano se ažurira kako bi izbjegao otkrivanje i poboljšao svoje zlonamjerne mogućnosti. Najnovija verzija otkrivena u digitalnom prostoru prikazuje značajne nadogradnje taktike izbjegavanja i obima napada, naglašavajući nemilosrdne napore zlonamjernih aktera koji stoje iza ovog zlonamjernog softvera.

TgToxic Android trojanac za krađu informacija prvobitno je dizajniran sa posebnim fokusom na korisnike jugoistočne Azije, međutim, njegova ažurirana verzija je proširila svoj geografski domet na Evropu i Latinsku Ameriku. Ova ekspanzija je svjedočanstvo prilagodljivosti zlonamjernih aktera koji kontinuirano prate obavještajne podatke otvorenog kôda kako bi poboljšali mogućnosti svog zlonamjernog softvera. Izmjene koje se vide u TgToxic verzijama zlonamjernog softvera odražavaju stalni nadzor nad javnim izveštavanjem od strane sigurnosnih istraživača i analitičara, pokazujući posvećenost zlonamjernih aktera da budu ispred bezbjednosnih mjera.

Implikacije ove ažurirane verzije su dalekosežne i zahtevaju hitnu pažnju korisnika mobilnih uređaja širom sveta. Kako okruženje prijetnji nastavlja da se razvija vrtoglavim tempom, od suštinskog je značaja za pojedince i organizacije da ostanu na oprezu u zaštiti od ovako sofisticiranih prijetnji zlonamjernog softvera. Redovna obuka o sajber bezbjednosti, praćenje indikatora kompromisa (eng. indicators of compromise – IoC) i stalna svest o phishing i zlonamjernim SMS porukama su ključni koraci ka ublažavanju ovih rizika. Ostajući informisani i proaktivni, korisnici organizacije mogu se kolektivno boriti protiv rastuće prijetnje koju predstavljaju TgToxic i slični Android trojanci koji nastoje da iskoriste ranjivosti na mobilnim Android uređajima.

 

ZAŠTITA

Evo nekoliko preporuka za zaštitu od TgToxic Android trojanca za krađu informacija:

1. Organizacije treba da sprovode strogu politiku dozvoljavanja instaliranja aplikacija samo iz pouzdanih izvora, kao što je Google Play Ovo će spriječiti korisnike da instaliraju zlonamjerne aplikacije kao što je TgToxic koje se možda maskiraju kao legitimni softver. Ograničavanjem nepoznatih izvora, organizacije mogu značajno smanjiti svoju izloženost sajber prijetnjama;
2. Rješenja za odbranu od mobilnih prijetnji (eng. mobile threat defense – MTD) su dizajnirana posebno za mobilne uređaje i pružaju zaštitu u realnom vremenu od zlonamjernog softvera, uključujući napredne prijetnje kao što je TgToxic zlonamjerni softver. Rješenja za odbranu od mobilnih prijetnji koriste algoritme mašinskog učenja za otkrivanje i blokiranje zlonamjernih aplikacija pre nego što imaju šansu da nanesu štetu. Primjenom ovih rješenja, organizacije mogu da obezbijede da mobilni uređaji zaposlenih budu zaštićeni čak i od najsofisticiranijih sajber napada;
3. Redovna obuka o sajber bezbjednosti je neophodna za edukaciju zaposlenih o tome kako da identifikuju i izbjegnu phishing pokušaje i druge vrste taktika društvenog inženjeringa koje koriste zlonamjerni akteri poput onih koji stoje iza TgToxic zlonamjernog softvera. Pružajući redovne sesije obuke, organizacije mogu osigurati da su zaposleni svjesni najnovijih prijetnji i da znaju koje korake treba da preduzmu da bi se zaštitili;
4. Rješenja za upravljanje mobilnim uređajima (eng. mobile device management – MDM) pružaju centralizovan način za IT administratore da upravljaju mobilnim uređajima širom organizacije. Rješenja za upravljanje mobilnim uređajima omogućavaju administratorima da daljinski brišu podatke, zaključavaju uređaje i primjenjuju bezbjednosne smjernice na korisničkim uređajima. Implementacijom rješenja za upravljanje mobilnim uređajima, organizacije mogu da obezbijede da mobilni uređaji zaposlenih budu bezbjedni i u skladu sa smjernicama organizacije;
5. Korisnici treba da budu oprezni kada instaliraju aplikacije i da obrate veliku pažnju na dozvole koje zahteva svaka aplikacija. Ako aplikacija zahteva prevelike ili neobične dozvole, to može biti znak zlonamjerne aktivnosti koja pokušava da dobije pristup osjetljivim podacima na uređaju. Korisnici mogu da provjere koje dozvole se koriste gledajući meni za podešavanja svog telefona;
6. Organizacije treba da implementiraju rješenja za proaktivno praćenje koja skeniraju korisničke uređaje i mreže u potrazi za znakovima kompromitovanja, kao što su sumnjiva mrežna aktivnost ili neobično ponašanje sistema. Ranim otkrivanjem ovih indikatora, organizacije mogu preduzeti brze mjere da obuzdaju prijetnju pre nego što se dalje proširi;
7. Primjena robusnih bezbjednosnih mjera je od suštinskog značaja za zaštitu od naprednih prijetnji kao što je TgToxic zlonamjerni softver. Ovo uključuje korišćenje jakih lozinki i omogućavanje autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće. Organizacije takođe treba da obezbijede da se sav softver, uključujući mobilne aplikacije, ažurira sa najnovijim ispravkama;
8. Redovna ažuriranja mobilnih aplikacija mogu pomoći u zaštiti od ranjivosti koje koriste zlonamjerni akteri poput onih koji stoje iza TgToxic zlonamjernog softvera. Korisnici i organizacije treba redovno da provjere da li postoje ažuriranja aplikacija u prodavnicama aplikacija (npr. Google Play prodavnica) i da ih instaliraju što je prije moguće;
9. Prilikom razmjene osjetljivih informacija, korisnici treba da koriste bezbjedne kanale komunikacije kao što su šifrovane aplikacije za razmjenu poruka ili usluge elektronske pošte koje nude enkripciju od kraja do kraja (eng. end-to-end encryption – E2EE). Ovo će pomoći u sprečavanju zlonamjernih aktera da presretnu komunikacije i dođu do osjetljivih podataka poput akreditiva za prijavu i sličnih podataka;
10. Organizacije bi trebalo da imaju planove odgovora na sajber prijetnju za brzo i efikasno reagovanje kada dođe do ugrožavanja bezbjednosti. Ovi planovi treba da sadrže procedure za obuzdavanje prijetnje, obavještavanje pogođenih strana (ako je potrebno) i sprovođenje analize nakon incidenta da bi se identifikovala područja za poboljšanja.

Primjenom ovih preporuka, korisnici i organizacije mogu značajno da smanje svoju izloženost prijetnjama kao što je TgToxic zlonamjerni softver i da ostanu ispred prijetnji u današnjem digitalnom okruženju koje se brzo razvija.