Банковский Android-троян TgToxic стал более скрытным и вооружился DGA

Банковский Android-троян TgToxic стал более скрытным и вооружился DGA

Банковский Android-троян TgToxic стал более скрытным и вооружился DGA

Авторы Android-трояна TgToxic расширили набор его средств уклонения от автоматизированного анализа и повысили жизнестойкость инфраструктуры, реализовав поиск C2-сервера перебором доменов, сгенерированных по DGA.

Ранний TgToxic, он же ToxicPanda, с этой целью полагался на вшитый в код перечень адресов C2. Позднее его сменил список из 25 комьюнити-форумов: операторы банкера создали там профили и публиковали конфигурационные данные в зашифрованном виде.

 

Модификация банковского трояна, обнаруженная экспертами Intel 471 в конце прошлого года, использует DGA для получения адресов C2. Подобный способ подключения к командным серверам сильно затрудняет их выявление и блокировку.

Обнаружив активный домен, TgToxic устанавливает соединение, подавая HTTPS-запросы на порту 443. Для шифрования используется AES-ECB с паддингом по PKCS5. В ответ вредонос получает инструкцию переключиться на Websocket, с указанием номера порта.

Новейшая версия банкера также обладает богатым набором средств выявления виртуальной среды. Он проводит проверку аппаратной платформы и возможностей системы: наличие датчиков, Bluetooth-связи, телефонии не характерно для эмуляторов, а присутствие QEMU или Genymotion (заточенный под Android эмулятор) сразу вызывает откат выполнения вредоносных функций.

Обновленный список банковских приложений, на которые нацелен TgToxic, подтвердил расширение географии мишеней. Интересы его операторов вышли за пределы Юго-Восточной Азии и теперь охватывают также Европу и Латинскую Америку.

Мобильный зловред, известный ИБ-сообществу с 2022 года, распространяется с помощью СМС и сообщений в соцсетях с вредоносными ссылками. Его обычно выдают за легитимное приложение — банковский клиент, мессенджер, прогу сайта знакомств; найденные Intel 471 образцы были замаскированы под Google Chrome.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России внедрили ИИ-сервис для поиска пропавших детей

В Новосибирской области внедрили систему видеоаналитики на базе искусственного интеллекта, которая уже помогла найти шестерых пропавших детей. Речь идёт о технологии распознавания лиц, которая анализирует изображения с городских камер видеонаблюдения и сравнивает их с фотографией ребёнка.

Решение разработала компания NtechLab. Поиск запускается только с согласия родителей — нужно позвонить по номеру 112 и загрузить фотографию через специальный сервис. Далее изображение попадает в защищённую систему «Безопасный город», где начинается автоматический поиск.

Система работает с высокой точностью: она умеет распознавать лица даже в большом потоке людей. Если совпадение найдено — об этом сообщают правоохранителям.

Новосибирская область стала первым регионом, где технология начала применяться на практике. По словам региональных властей, цифровой инструмент оказался полезным и достаточно эффективным.

Также отмечается, что подобные решения могут быть встроены в уже существующие системы безопасности и использоваться в других регионах. В будущем таких инициатив, связанных с применением ИИ в социальной сфере, может стать больше.

«Важно, что те решения, которые разрабатывают отечественные компании в направлении искусственного интеллекта, несут не только пользу для бизнеса, но и решают общественные и социальные задачи. Уверен, что с каждым годом мы будем встречать все больше и больше кейсов, которые будут рассказывать о том, как ИИ помогает в той или иной сфере. В свою очередь, мы в "Группе Астра" создали программное решение сквозного конвейера для разработки технологии искусственного интеллекта. Наш проект "Тессеракт" будет способствовать расширению внедрения ИИ в различные сферы деятельности», — говорит Станислав Ежов, директор по ИИ «Группы Астра».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru