TgToxic Mobile Malware

Το TgToxic είναι ένα απειλητικό τραπεζικό κακόβουλο λογισμικό Android που δραστηριοποιείται στη Νοτιοανατολική Ασία από τον Ιούλιο του 2022. Χρησιμοποιεί διάφορες τεχνικές κοινωνικής μηχανικής, όπως γραφικά θέλγητρα περιεχομένου που απευθύνονται σε ενήλικες, σπασμωδικές τακτικές και τακτικές με επίκεντρο τα κρυπτονομίσματα για την απόκτηση πληροφοριών που σχετίζονται με τα οικονομικά από τους χρήστες. Αρχικά, οι παρατηρούμενες εκστρατείες στόχευαν ιδιαίτερα την Ταϊβάν, αλλά το εύρος της κακοπροαίρετης επιχείρησης έκτοτε επεκτάθηκε και στην Ταϊλάνδη και την Ινδονησία. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό TgToxic Android και τη σχετική εκστρατεία επίθεσης αποκαλύφθηκαν στο κοινό σε μια έκθεση που δόθηκε στη δημοσιότητα από ερευνητές της infosec.

Οι Απειλητικές Δυνατότητες του TgToxic Mobile Malware

Το κακόβουλο λογισμικό TgToxic Mobile κάνει κατάχρηση των Υπηρεσιών Προσβασιμότητας Android για να αποκτήσει πρόσβαση και έλεγχο στα συστήματα. Χρησιμοποιώντας αυτές τις υπηρεσίες, το TgToxic μπορεί να εκτελέσει πολυάριθμες παρεμβατικές ενέργειες στη συσκευή, όπως διακοπή της αδράνειας, άρνηση ή έγκριση ενεργειών, αλληλεπίδραση με το πληκτρολόγιο, πρόσβαση σε γκαλερί και εγκατεστημένες λίστες εφαρμογών και άλλα. Το επιβλαβές πρόγραμμα συλλέγει επίσης πληροφορίες διαβάζοντας και διεισδύοντας τις επαφές, τα email και τα SMS (μηνύματα κειμένου) των θυμάτων.

Επιπλέον, μπορεί να συλλέξει κωδικούς Google Authenticator 2FA μέσω των Υπηρεσιών Προσβασιμότητας Android. Επιπλέον, το TgToxic μπορεί να παρακολουθεί την είσοδο του χρήστη (keylogging), να τραβήξει στιγμιότυπα οθόνης και να τραβήξει φωτογραφίες μέσω της κάμερας(ών) της συσκευής. Ο απώτερος στόχος του είναι να κλέβει διαδικτυακούς τραπεζικούς λογαριασμούς, εφαρμογές που σχετίζονται με τα οικονομικά και πορτοφόλια κρυπτονομισμάτων – καθιστώντας δυνατή την εκτέλεση μικρών συναλλαγών χωρίς τη συμμετοχή ή τη γνώση του χρήστη. Παραχωρώντας στον εαυτό του άδειες χωρίς τη συμβολή του χρήστη, το TgToxic είναι σε θέση να αποτρέψει την αφαίρεσή του και να απενεργοποιήσει το λογισμικό ασφαλείας για να αποφύγει τον εντοπισμό. Συνολικά, αυτό το μη ασφαλές πρόγραμμα αποτελεί σημαντική απειλή για τους χρήστες Android και πρέπει να αντιμετωπιστεί ανάλογα.

Κατάχρηση νόμιμων πλαισίων

Οι εγκληματίες του κυβερνοχώρου πίσω από το κακόβουλο λογισμικό TgToxic Android εκμεταλλεύονται τα νόμιμα πλαίσια αυτοματισμού όπως το Easyclick και το Autojs για να δημιουργήσουν εξελιγμένα τραπεζικά Trojans που μπορούν να εκμεταλλευτούν τις υπηρεσίες προσβασιμότητας. Παρά την έλλειψη πολυπλοκότητας αυτής της συγκεκριμένης απειλής, οι τεχνικές που χρησιμοποιούνται καθιστούν δύσκολη την αντίστροφη μηχανική για ανάλυση. Λόγω της ευκολίας χρήσης και των χαρακτηριστικών κατά της αντίστροφης μηχανικής που παρέχονται από τα πλαίσια, είναι πιθανό ότι περισσότεροι παράγοντες απειλής θα χρησιμοποιήσουν αυτήν τη μέθοδο στο μέλλον. Μια τέτοια εξέλιξη θα μπορούσε να αποτελέσει σοβαρή απειλή για τους χρήστες Android και τις συσκευές τους. Ως εκ τούτου, όλοι θα πρέπει να παραμείνουν σε εγρήγορση και να προστατεύσουν προληπτικά τα συστήματά τους από επιβλαβείς επιθέσεις.