Programari maliciós mòbil TgToxic

TgToxic és un programari maliciós bancari amenaçador d'Android que ha estat actiu al sud-est asiàtic des del juliol de 2022. Utilitza diverses tècniques d'enginyeria social, com ara esquers gràfics de contingut orientat a adults, tàctiques de smishing i tàctiques centrades en criptomoneda per adquirir informació relacionada amb les finances dels usuaris. Inicialment, les campanyes observades van dirigir particularment a Taiwan, però l'abast de l'operació malintencionada també s'ha ampliat a Tailàndia i Indonèsia. Els detalls sobre el programari maliciós d'Android TgToxic i la seva campanya d'atac associada es van revelar al públic en un informe publicat per investigadors d'infosec.

Les capacitats amenaçadores del programari maliciós mòbil TgToxic

El programari maliciós TgToxic Mobile abusa dels serveis d'accessibilitat d'Android per obtenir accés i control sobre els sistemes. Mitjançant l'ús d'aquests serveis, TgToxic pot realitzar nombroses accions invasives al dispositiu, com ara impedir que es dormi, denegar o aprovar accions, interactuar amb el teclat, accedir a galeries i llistes d'aplicacions instal·lades i molt més. El programa nociu també recull informació llegint i exfiltrant els contactes, correus electrònics i SMS (missatges de text) de les víctimes.

A més, pot recollir codis de Google Authenticator 2FA mitjançant els serveis d'accessibilitat d'Android. A més, TgToxic pot controlar l'entrada de l'usuari (registrament de tecles), fer captures de pantalla i capturar fotos a través de les càmeres del dispositiu. El seu objectiu final és segrestar comptes bancaris en línia, aplicacions relacionades amb les finances i carteres de criptomoneda, fent possible realitzar petites transaccions sense la implicació ni el coneixement de l'usuari. En concedir-se permisos sense l'entrada de l'usuari, TgToxic pot evitar la seva eliminació i desactivar el programari de seguretat per evadir la detecció. En general, aquest programa insegur suposa una amenaça important per als usuaris d'Android i s'ha d'abordar en conseqüència.

Abusar de marcs legítims

Els ciberdelinqüents que hi ha darrere del programari maliciós TgToxic Android aprofiten marcs d'automatització legítims com Easyclick i Autojs per crear troians bancaris sofisticats que puguin explotar els serveis d'accessibilitat. Malgrat la manca de complexitat d'aquesta amenaça particular, les tècniques utilitzades dificulten l'enginyeria inversa per a l'anàlisi. A causa de la facilitat d'ús i de les característiques anti-enginyeria inversa que proporcionen els marcs, és probable que més actors d'amenaces utilitzin aquest mètode en el futur. Aquest desenvolupament podria suposar una greu amenaça per als usuaris d'Android i els seus dispositius. Per tant, tothom ha de mantenir-se vigilant i protegir de manera proactiva els seus sistemes contra atacs perjudicials.