TgToxic: El malware bancario para Android

Los investigadores de ciberseguridad han descubierto una versión actualizada de TgToxic (también conocido como ToxicPanda), un malware bancario para Android que sigue evolucionando para evadir la detección y mejorar sus capacidades de ataque.

Según un informe de Intel 471, las modificaciones recientes reflejan la vigilancia de los ciberdelincuentes sobre los informes públicos y su compromiso con el perfeccionamiento de este troyano bancario.

¿Qué es TgToxic y cómo afecta a los usuarios de Android?

TgToxic fue identificado por primera vez a principios de 2023 por Trend Micro, que lo describió como un troyano bancario capaz de robar credenciales de acceso, fondos de billeteras criptográficas y datos financieros de aplicaciones bancarias. Su actividad ha sido rastreada desde al menos julio de 2022, con un enfoque inicial en usuarios de Taiwán, Tailandia e Indonesia.

En noviembre de 2024, la empresa italiana de prevención de fraudes Cleafy identificó una variante mejorada con funciones avanzadas de recopilación de datos y un alcance ampliado a Italia, Portugal, Hong Kong, España y Perú. Se cree que este malware de Android proviene de un grupo de habla china.

Métodos de distribución de TgToxic

El último análisis de Intel 471 señala que TgToxic se propaga mediante archivos APK cuentagotas, probablemente a través de:

• Mensajes SMS maliciosos
• Sitios web de phishing

Sin embargo, el mecanismo exacto de entrega aún no se ha confirmado.

Principales mejoras en la última versión de TgToxic

Las modificaciones recientes de TgToxic incluyen técnicas más avanzadas para evadir la detección y mantener el control de los dispositivos infectados.

1. Mejor detección de emuladores

El malware ahora analiza el hardware y el sistema del dispositivo para identificar entornos de prueba o emulación, dificultando su análisis por parte de los investigadores de ciberseguridad.

Cómo lo hace:

• Examina propiedades clave del dispositivo, como marca, modelo y huella digital
• Detecta discrepancias típicas de los sistemas emulados

2. Cambio de servidores C2 mediante foros públicos

TgToxic ha pasado de usar dominios C2 codificados a aprovechar foros públicos, como el foro de desarrolladores de Atlassian, para ocultar su infraestructura maliciosa.

Cómo funciona:

• Crea perfiles falsos en foros que contienen cadenas cifradas con la dirección del servidor C2 real
• El APK de TgToxic selecciona aleatoriamente una URL del foro para obtener la dirección del servidor de comando y control

Ventaja clave: Los ciberdelincuentes pueden cambiar los servidores C2 simplemente actualizando el perfil del foro, sin necesidad de modificar el malware.

3. Uso de un algoritmo de generación de dominios (DGA)

Las versiones más recientes de TgToxic (diciembre de 2024) implementan un DGA (Domain Generation Algorithm), lo que le permite crear nuevos dominios dinámicamente para sus servidores C2.

Ventaja clave: Mayor resistencia a la eliminación de dominios, ya que el malware siempre puede generar nuevas direcciones para comunicarse con los atacantes.

¿Por qué TgToxic es una amenaza tan peligrosa?

Según Ted Miracco, CEO de Approov, TgToxic se ha convertido en uno de los troyanos bancarios más sofisticados para Android debido a sus técnicas avanzadas de evasión, que incluyen:

✅ Ofuscación del código y cifrado de la carga útil
✅ Mecanismos anti-emulación para evitar la detección
✅ Automatización de ataques para robar credenciales y realizar transacciones fraudulentas

Un malware en constante evolución

La rápida evolución de TgToxic demuestra cómo los atacantes ajustan sus estrategias para evadir la detección y maximizar su impacto. Con su capacidad para robar datos financieros, evadir análisis y persistir en los dispositivos infectados, este troyano bancario de Android sigue representando una amenaza crítica para usuarios y empresas.

Recomendaciones para protegerse de TgToxic

⚠️ Evita descargar APKs fuera de la Google Play Store
⚠️ No hagas clic en enlaces sospechosos de SMS o correos electrónicos
⚠️ Utiliza soluciones de ciberseguridad que detecten malware avanzado

La ciberseguridad es clave para mantenerse protegido frente a amenazas como TgToxic. 🚨

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta