TgToxic Mobile Malware

TgToxic er en truende Android-bank-malware, som har været aktiv i Sydøstasien siden juli 2022. Den bruger forskellige social engineering-teknikker, såsom grafisk voksen-orienteret indhold lokker, smishing og cryptocurrency-centrerede taktikker til at erhverve finansrelateret information fra brugere. I første omgang var observerede kampagner rettet mod Taiwan, men omfanget af den dårligtsindede operation er siden også udvidet til Thailand og Indonesien. Detaljer om TgToxic Android-malwaren og dens tilhørende angrebskampagne blev afsløret for offentligheden i en rapport udgivet af infosec-forskere.

TgToxic Mobile Malwares truende egenskaber

TgToxic Mobile-malwaren misbruger Android Accessibility Services for at få adgang til og kontrol over systemer. Ved at bruge disse tjenester kan TgToxic udføre adskillige invasive handlinger på enheden, såsom at stoppe den i at sove, afvise eller godkende handlinger, interagere med tastaturet, få adgang til gallerier og installerede applikationslister og mere. Det skadelige program høster også information ved at læse og eksfiltrere ofrenes kontakter, e-mails og SMS'er (sms'er).

Desuden kan den indsamle Google Authenticator 2FA-koder via Android Accessibility Services. Derudover kan TgToxic overvåge brugerinput (keylogging), tage skærmbilleder og tage billeder gennem enhedens kamera(er). Dets ultimative mål er at kapre online bankkonti, finansrelaterede applikationer og cryptocurrency tegnebøger - hvilket gør det muligt at udføre små transaktioner uden brugerens involvering eller viden. Ved at give sig selv tilladelser uden brugerinput er TgToxic i stand til at forhindre dets fjernelse og deaktivere sikkerhedssoftware for at undgå opdagelse. Samlet set udgør dette usikre program en betydelig trussel mod Android-brugere og skal håndteres i overensstemmelse hermed.

Misbrug af legitime rammer

De cyberkriminelle bag TgToxic Android-malwaren udnytter legitime automatiseringsrammer som Easyclick og Autojs til at skabe sofistikerede banktrojanske heste, der kan udnytte tilgængelighedstjenester. På trods af denne særlige trussels mangel på kompleksitet, gør de anvendte teknikker det vanskeligt at reverse engineering til analyse. På grund af den brugervenlighed og anti-reverse engineering-funktioner, som rammerne giver, er det sandsynligt, at flere trusselsaktører vil bruge denne metode i fremtiden. En sådan udvikling kan udgøre en alvorlig trussel mod Android-brugere og deres enheder. Derfor bør alle være på vagt og proaktivt beskytte deres systemer mod skadelige angreb.