TgToxic Mobile Malware

TgToxic je hrozivý bankovní malware pro Android, který je aktivní v jihovýchodní Asii od července 2022. K získávání informací souvisejících s financemi od uživatelů využívá různé techniky sociálního inženýrství, jako jsou grafické návnady na obsah zaměřený na dospělé, smishing a taktiky zaměřené na kryptoměny. Zpočátku se sledované kampaně zaměřovaly zejména na Tchaj-wan, ale rozsah neopatrné operace se od té doby rozšířil také do Thajska a Indonésie. Podrobnosti o malwaru TgToxic Android a související útočné kampani byly veřejnosti odhaleny ve zprávě zveřejněné výzkumníky infosec.

Ohrožující schopnosti mobilního malwaru TgToxic

Malware TgToxic Mobile zneužívá služby Android Accessibility Services k získání přístupu a kontroly nad systémy. Pomocí těchto služeb může TgToxic na zařízení provádět řadu invazivních akcí, jako je zastavení jeho spánku, odmítnutí nebo schválení akcí, interakce s klávesnicí, přístup k galeriím a seznamům nainstalovaných aplikací a další. Škodlivý program také sbírá informace čtením a exfiltrací kontaktů obětí, e-mailů a SMS (textových zpráv).

Kromě toho může shromažďovat kódy Google Authenticator 2FA prostřednictvím služeb Android Accessibility Services. Kromě toho může TgToxic monitorovat vstup uživatele (keylogging), pořizovat snímky obrazovky a pořizovat fotografie prostřednictvím fotoaparátu (kamer) zařízení. Jeho konečným cílem je unést online bankovní účty, aplikace související s financemi a peněženky s kryptoměnami – což umožňuje provádět malé transakce bez zapojení nebo vědomí uživatele. Tím, že si TgToxic udělí oprávnění bez zásahu uživatele, je schopen zabránit jeho odstranění a deaktivovat bezpečnostní software, aby se vyhnul detekci. Celkově tento nebezpečný program představuje značnou hrozbu pro uživatele Androidu a musí být odpovídajícím způsobem řešen.

Zneužívání legitimních rámců

Kyberzločinci stojící za malwarem TgToxic Android využívají legitimní automatizační rámce, jako je Easyclick a Autojs, k vytvoření sofistikovaných bankovních trojských koní, kteří mohou využívat služby usnadnění. Navzdory nedostatečné složitosti této konkrétní hrozby použité techniky ztěžují zpětné inženýrství pro analýzu. Vzhledem ke snadnému použití a funkcím proti zpětnému inženýrství, které rámce poskytují, je pravděpodobné, že tuto metodu bude v budoucnu používat více aktérů hrozeb. Takový vývoj by mohl představovat vážnou hrozbu pro uživatele Androidu a jejich zařízení. Všichni by proto měli zůstat ostražití a proaktivně chránit své systémy před škodlivými útoky.