Банковский Android-троян TgToxic стал более скрытным и вооружился DGA

Татьяна Никитина 26 Февраля 2025 - 14:35

...

Банковский Android-троян TgToxic стал более скрытным и вооружился DGA

Авторы Android-трояна TgToxic расширили набор его средств уклонения от автоматизированного анализа и повысили жизнестойкость инфраструктуры, реализовав поиск C2-сервера перебором доменов, сгенерированных по DGA.

Ранний TgToxic, он же ToxicPanda, с этой целью полагался на вшитый в код перечень адресов C2. Позднее его сменил список из 25 комьюнити-форумов: операторы банкера создали там профили и публиковали конфигурационные данные в зашифрованном виде.

Модификация банковского трояна, обнаруженная экспертами Intel 471 в конце прошлого года, использует DGA для получения адресов C2. Подобный способ подключения к командным серверам сильно затрудняет их выявление и блокировку.

Обнаружив активный домен, TgToxic устанавливает соединение, подавая HTTPS-запросы на порту 443. Для шифрования используется AES-ECB с паддингом по PKCS5. В ответ вредонос получает инструкцию переключиться на Websocket, с указанием номера порта.

Новейшая версия банкера также обладает богатым набором средств выявления виртуальной среды. Он проводит проверку аппаратной платформы и возможностей системы: наличие датчиков, Bluetooth-связи, телефонии не характерно для эмуляторов, а присутствие QEMU или Genymotion (заточенный под Android эмулятор) сразу вызывает откат выполнения вредоносных функций.

Обновленный список банковских приложений, на которые нацелен TgToxic, подтвердил расширение географии мишеней. Интересы его операторов вышли за пределы Юго-Восточной Азии и теперь охватывают также Европу и Латинскую Америку.

Мобильный зловред, известный ИБ-сообществу с 2022 года, распространяется с помощью СМС и сообщений в соцсетях с вредоносными ссылками. Его обычно выдают за легитимное приложение — банковский клиент, мессенджер, прогу сайта знакомств; найденные Intel 471 образцы были замаскированы под Google Chrome.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 09:19

Домашние пользователи Персональный VPN Анонимайзеры

Atomic Heart не запускается в России без VPN

Игра Atomic Heart, купленная в России через VK Play или Steam, у части пользователей перестала запускаться. Причиной, как сообщается, стали сбои в работе антипиратской системы Denuvo из-за проблем с подключением к управляющим серверам. В технической поддержке в качестве одного из вариантов решения рекомендовали использовать средства обхода блокировок.

О проблеме сообщил пользователь DTF, который не смог запустить купленную через VK Play копию Atomic Heart.

Как выяснилось, с аналогичными трудностями столкнулись и пользователи, купившие игру в Steam. Причиной стали ошибки в работе системы Denuvo Anti-Tamper.

По данным портала «Код Дурова», сложности с запуском могли возникнуть и у других игр, использующих защиту Denuvo. В частности, пользователи жаловались на проблемы с Pragmata. Однако в этом случае ситуация оказалась сложнее: в отличие от Atomic Heart, никаких сообщений об ошибке не появлялось.

В технической поддержке вендора рекомендовали изменить маршрутизацию трафика: «В связи с блокировками у провайдеров некоторые маршруты недоступны, что не позволяет вашей сети проложить маршруты до серверов в определённых локациях. К сожалению, с нашей стороны мы ничем не можем помочь, так как блокировка локальная. Попробуйте изменить маршрутизацию вашего трафика».

В VK Play также посоветовали использовать средства подмены сетевых адресов: «Для устранения проблемы рекомендуем попробовать запустить игру, используя альтернативный способ подключения к интернету, который позволяет изменить виртуальное местоположение компьютера».