O malware TgToxic, um trojan bancário para Android, continua evoluindo e expandindo seu alcance global, de acordo com pesquisadores de segurança da Intel 471. Originalmente descoberto em 2022 pela Trend Micro, o TgToxic é projetado para roubar credenciais bancárias, sequestrar carteiras de criptomoedas e desviar fundos de aplicativos financeiros. Inicialmente, o malware estava restrito a campanhas de engenharia social no Sudeste Asiático, onde era distribuído por meio de sites falsos, aplicativos disfarçados e contas comprometidas em redes sociais. No entanto, novas investigações indicam que seus operadores agora miram bancos na Europa e América Latina, ampliando significativamente seu escopo de ataques.

Em novembro de 2024, pesquisadores identificaram uma nova campanha utilizando uma versão atualizada do TgToxic, possivelmente em resposta a um relatório detalhado da empresa Cleafy, que expôs o funcionamento do malware. Para contornar essa exposição, os operadores do trojan implementaram mudanças importantes na forma como ele se conecta aos seus servidores de comando e controle (C2). Inicialmente, a segunda versão do TgToxic passou a utilizar 25 fóruns online para armazenar informações criptografadas sobre seus servidores C2. Os atacantes criavam perfis falsos nesses fóruns e escondiam strings maliciosas nos campos de perfil, permitindo que o malware acessasse essas informações e obtivesse o endereço dos servidores maliciosos sem despertar suspeitas. Entretanto, essa tática foi abandonada rapidamente, já que as contas falsas nos fóruns foram removidas após serem denunciadas.

Como resposta, os criminosos lançaram uma terceira versão do TgToxic, que adota um algoritmo de geração de domínios (DGA). Com essa técnica, o malware gera automaticamente novos domínios para se comunicar com os servidores C2, dificultando a detecção e o bloqueio pelos sistemas de segurança. Essa abordagem garante que, mesmo que alguns servidores sejam desativados, o malware continue funcional, estabelecendo conexões com novos domínios de forma automatizada. Além das mudanças na infraestrutura C2, a nova versão do TgToxic também recebeu melhorias avançadas para evitar detecção em emuladores e ambientes de análise. O trojan agora verifica as propriedades do sistema, sensores do dispositivo, processador e outras características para identificar se está rodando em um ambiente virtualizado, impedindo sua execução em ferramentas de análise de malware.