TgToxic银行木马再升级：反分析技术加码，安全专家如何见招拆招？

Android银行木马TgToxic（又名ToxicPanda）再次进入安全研究人员的视野。最新发现的变种展示了其背后的威胁行为者持续升级恶意软件、对抗安全分析的决心。本文将深入剖析TgToxic的新特性，揭示其技术细节，并提供应对建议。

大家好，长期关注移动安全威胁。最近，Intel 471发布了一份关于TgToxic银行木马新变种的报告，我结合自己的研究和理解，为大家带来深度解读。

1. TgToxic的前世今生：从东南亚到全球

• 早期活动：
  
   TgToxic最早由Trend Micro在2023年初发现，当时主要针对台湾、泰国和印度尼西亚的移动用户，窃取加密货币钱包、银行和金融应用的凭证及资金。
• 演变与扩张：
  
   2024年11月，Cleafy发现了TgToxic的更新变种，其数据收集功能更强大，目标范围扩大到意大利、葡萄牙、香港、西班牙和秘鲁。
• 幕后黑手：
  
   基于现有证据，TgToxic被认为是由一个讲中文的威胁行为者操控。

2. 新变种技术升级：反分析能力全面提升

• 传播方式：
  
   虽然确切的传播机制尚不清楚，但Intel 471的分析表明，TgToxic新变种通过APK文件进行传播，这些文件很可能通过短信或钓鱼网站进行分发。
• 反模拟器检测：
• 技术细节：
  
   新变种具备更强的模拟器检测能力。它会彻底评估设备的硬件和系统功能，检查一系列设备属性，包括品牌、型号、制造商和指纹值，以识别模拟系统的典型差异。
• 专业解读：
  
   这种检测方式比简单的检查特定模拟器标识更有效，因为它可以识别出更广泛的模拟环境，增加了分析难度。
• C2通信机制升级：
• 技术优势：
  
   DGA可以创建多个域名，即使部分域名被查封，攻击者也可以快速切换到新域名，使恶意软件更具弹性。
• 专业评论
  
  : DGA的使用, 代表了攻击者对于安全对抗的重视.
• 技术优势：
  
   这种方法使威胁行为者能够轻松更改C2服务器，只需更新社区用户配置文件即可，无需更新恶意软件本身。这大大延长了恶意软件样本的生命周期。
• 旧方法：
  
   早期版本的TgToxic将C2域名硬编码在恶意软件配置中。
• 新方法1（死信解析器）：
  
   新变种利用Atlassian社区开发者论坛等平台，创建包含指向实际C2服务器的加密字符串的虚假配置文件。TgToxic APK会随机选择配置中提供的一个论坛URL，作为C2域名的“死信解析器”。
• 新方法2（DGA）：
  
   2024年12月发现的TgToxic迭代版本更进一步，使用域名生成算法（DGA）创建新的C2域名。

3. TgToxic的危害：不仅仅是窃取凭证

• 高级功能：
  
   TgToxic不仅仅是一个简单的银行木马。它具备混淆、有效载荷加密和反模拟机制等高级反分析技术，可以逃避安全工具的检测。
• 自动化能力：
  
   Approov的首席执行官Ted Miracco指出，TgToxic利用动态C2策略（如DGA）和自动化功能，可以劫持用户界面、窃取凭证并执行未经授权的交易，具有很强的隐蔽性和对抗能力。

4.安全专家的建议：如何应对TgToxic威胁

• 提高用户安全意识：
• 教育用户不要点击来自未知来源的链接或下载附件。
• 提醒用户只从官方应用商店（如Google Play）下载应用。
• 告知用户在安装应用时仔细检查权限请求。
• 企业级防护：
• 移动威胁防御（MTD）解决方案：
  
   部署MTD解决方案，可以检测和阻止TgToxic等恶意软件的安装和运行。
• 移动应用安全测试：
  
   对企业内部使用的移动应用进行安全测试，确保应用本身没有漏洞，不会被恶意软件利用。
• API安全
  
  : 因为TgToxic采用DGA, 对于后端服务器与移动端应用的API交互, 需要有额外的安全措施, 例如Approov提供的方案.
• 持续监控与响应：
  
   建立持续的安全监控和事件响应机制，及时发现和处理TgToxic等威胁。

结语：

TgToxic银行木马的持续演变表明，移动安全威胁形势日益严峻。我们需要保持警惕，不断学习和掌握最新的安全技术和防御策略，才能有效应对这些不断变化的威胁。

希望本文能够帮助您更好地了解TgToxic银行木马的最新动态和技术细节。欢迎大家在评论区留言交流！

原文始发于微信公众号（技术修道场）：TgToxic银行木马再升级：反分析技术加码，安全专家如何见招拆招？