TgToxicはAndroid環境向けのバンキング型トロイです。
最近新たに出てきたものではなく、古くは2022年から観測されているものです。
TgToxicは、これまでも何回も内容が更新されてきていることが確認されていて、最近またさらに新しいものとなっていることが確認されています。
どのような変化があったのでしょうか。
- エミュレータ検出機能
以前の版からエミュレータ検出機能は搭載されていたのですが、その内容が更新されています。- Androidシステム機能のチェックとハードウェアフィンガープリンティング
マルウェアは、デバイスのハードウェアとシステム機能を徹底的に評価して、エミュレーションされた環境にいるのかどうかを検出します。
Bluetooth 機能、センサーの可用性、テレフォニーサービスなど、実際のAndroidのデバイス環境にはあるはずの機能が存在するかを確認することで、解析用の箱庭にいるのかを判定しようとします。
CPUの種類も判定材料に使用します。 - システムプロパティ分析とエミュレータ固有のインジケーター
マルウェアは、ブランド、モデル、製造元、フィンガープリント値などのデバイスのプロパティを調べて、エミュレートされたシステムに特有の矛盾を特定します。
- Androidシステム機能のチェックとハードウェアフィンガープリンティング
- C2アドレスの指定方法をDGAに変更
コマンドアンドコントロールの指定方法が何度も変更されています。
従来はハードコードされた状態でしたが、そこからコミュニティサイトにおいた情報からC2情報を構成できるような仕組みに変化していました。
そして、これがさらに変更され、現在はドメイン生成アルゴリズムを使用する状態になりました。
マルウェアは継続的に変更されて強化されていきます。
マルウェア作成者は他のマルウェアの採用する新たな機構を次々に取り入れ、従来の方法では対応が難しい内容へと変化していきます。
このマルウェアは、Androidデバイスに感染すると、仮想通貨ウォレットや銀行、金融アプリから認証情報や資金を盗む活動を展開します。
防御側も対策を常に最新化していくことで対応する必要がありそうです。
Android trojan TgToxic updates its capabilities
https://intel471.com/blog/android-trojan-tgtoxic-updates-its-capabilities
| この記事をシェア |
|
|---|
