Peneliti keamanan siber menemukan varian terbaru dari malware Android TgToxic (juga dikenal sebagai ToxicPanda), yang menunjukkan bahwa aktor ancaman di baliknya terus mengadaptasi dan meningkatkan kemampuannya dalam menanggapi laporan publik.

Menurut laporan Intel 471 yang dirilis minggu ini, perubahan dalam payload TgToxic mencerminkan pemantauan aktif terhadap sumber intelijen terbuka. Ini juga menegaskan komitmen kelompok ancaman untuk meningkatkan efektivitas malware dalam menghindari analisis dan memperkuat teknik penyamaran.

TgToxic pertama kali didokumentasikan oleh Trend Micro pada awal 2023 sebagai trojan perbankan yang dirancang untuk mencuri kredensial serta dana dari dompet kripto dan aplikasi keuangan. Malware ini telah beredar sejak Juli 2022, dengan target utama pengguna di Taiwan, Thailand, dan Indonesia.

Pada November 2024, perusahaan keamanan Italia Cleafy mengungkap varian baru TgToxic yang memiliki fitur pengumpulan data lebih luas, dengan jangkauan operasi yang diperluas ke Italia, Portugal, Hong Kong, Spanyol, dan Peru. Diperkirakan, malware ini dikembangkan oleh aktor ancaman berbahasa Mandarin.

Laporan terbaru dari Intel 471 menemukan bahwa malware ini didistribusikan melalui file APK dropper yang kemungkinan dikirim melalui pesan SMS atau situs phishing. Namun, mekanisme distribusi pastinya masih belum diketahui.

Beberapa perubahan signifikan dalam varian terbaru TgToxic meliputi:

1.     Peningkatan Deteksi Emulator

o   Malware kini lebih efektif dalam mengenali lingkungan emulasi dengan mengevaluasi perangkat keras dan sistem target.

o   TgToxic memeriksa berbagai atribut perangkat, termasuk merek, model, manufaktur, dan fingerprint sistem, untuk mengidentifikasi perbedaan yang biasanya ditemukan pada emulator.

2.     Perubahan Mekanisme Komunikasi dengan Server C2

o   Sebelumnya, TgToxic menggunakan domain command-and-control (C2) yang tertanam langsung dalam konfigurasi malware.

o   Kini, malware ini menggunakan forum komunitas pengembang Atlassian untuk membuat profil palsu yang berisi string terenkripsi yang menunjuk ke server C2 sebenarnya.

o   Dengan cara ini, penyerang dapat mengubah server C2 tanpa memperbarui malware, cukup dengan mengedit profil pengguna di forum.

3.     Penggunaan Algoritma Pembangkitan Domain (DGA)

o   Versi terbaru TgToxic yang ditemukan pada Desember 2024 telah mengadopsi domain generation algorithm (DGA) untuk membuat nama domain baru bagi server C2.

o   Teknik ini membuat malware lebih tahan terhadap upaya pemutusan koneksi, karena DGA memungkinkan aktor ancaman untuk terus membuat domain baru saat domain lama diblokir.

Menurut Intel 471, metode ini memperpanjang masa aktif malware karena selama profil pengguna di forum tetap aktif, malware dapat terus berfungsi.