TgToxic Mobile Malware

TgToxic е заплашителен банков злонамерен софтуер за Android, който е активен в Югоизточна Азия от юли 2022 г. Той използва различни техники за социално инженерство, като графични примамки за съдържание, ориентирано към възрастни, усмихване и тактики, ориентирани към криптовалута, за придобиване на свързана с финансите информация от потребителите. Първоначално наблюдаваните кампании бяха насочени по-специално към Тайван, но оттогава обхватът на злонамерената операция се разшири и до Тайланд и Индонезия. Подробности за злонамерения софтуер TgToxic Android и свързаната с него кампания за атака бяха разкрити на обществеността в доклад, публикуван от изследователи на infosec.

Заплашващите възможности на TgToxic Mobile Malware

Зловреден софтуер TgToxic Mobile злоупотребява с услугите за достъпност на Android, за да получи достъп и контрол върху системите. Използвайки тези услуги, TgToxic може да извършва многобройни инвазивни действия на устройството, като спиране от заспиване, отказ или одобряване на действия, взаимодействие с клавиатурата, достъп до галерии и списъци с инсталирани приложения и др. Вредната програма също събира информация чрез четене и ексфилтриране на контакти, имейли и SMS (текстови съобщения) на жертвите.

Освен това може да събира 2FA кодове на Google Authenticator чрез услугите за достъпност на Android. Освен това TgToxic може да следи въвеждането на потребителя (keylogging), да прави екранни снимки и да заснема снимки чрез камерата(ите) на устройството. Крайната му цел е да отвлече онлайн банкови сметки, приложения, свързани с финанси, и портфейли с криптовалута – което прави възможно извършването на малки транзакции без участието или знанието на потребителя. Предоставяйки си разрешения без въвеждане от потребителя, TgToxic е в състояние да предотврати премахването му и да деактивира софтуера за сигурност, за да избегне откриването. Като цяло, тази опасна програма представлява значителна заплаха за потребителите на Android и трябва да бъде разгледана по съответния начин.

Злоупотреба с легитимни рамки

Киберпрестъпниците зад зловредния софтуер TgToxic за Android се възползват от легитимни рамки за автоматизация като Easyclick и Autojs, за да създадат сложни банкови троянски коне, които могат да използват услугите за достъпност. Въпреки липсата на сложност на тази конкретна заплаха, използваните техники затрудняват обратното проектиране за анализ. Поради лекотата на използване и функциите за защита от обратно инженерство, осигурени от рамките, е вероятно повече заплахи да използват този метод в бъдеще. Подобно развитие може да представлява сериозна заплаха за потребителите на Android и техните устройства. Следователно всеки трябва да остане бдителен и проактивно да защитава системите си срещу вредни атаки.