بدافزار موبایل TgToxic

TgToxic یک بدافزار بانکی اندرویدی تهدید کننده است که از ژوئیه 2022 در آسیای جنوب شرقی فعال بوده است. این بدافزار از تکنیک‌های مهندسی اجتماعی مختلف، مانند فریب‌های گرافیکی محتوای بزرگسالان، تاکتیک‌های smishing و ارزهای دیجیتال محور برای به دست آوردن اطلاعات مربوط به امور مالی از کاربران استفاده می‌کند. در ابتدا، کمپین های مشاهده شده به ویژه تایوان را هدف قرار دادند، اما دامنه این عملیات بدبینانه از آن زمان به تایلند و اندونزی نیز گسترش یافته است. جزئیات مربوط به بدافزار اندروید TgToxic و کمپین حمله مرتبط با آن در گزارشی که توسط محققان infosec منتشر شد برای عموم فاش شد.

قابلیت های تهدید آمیز بدافزار موبایل TgToxic

بدافزار TgToxic Mobile از خدمات دسترس‌پذیری اندروید برای دسترسی و کنترل سیستم‌ها سوء استفاده می‌کند. با استفاده از این سرویس‌ها، TgToxic می‌تواند اقدامات تهاجمی متعددی را روی دستگاه انجام دهد، مانند جلوگیری از خوابیدن، انکار یا تأیید اقدامات، تعامل با صفحه کلید، دسترسی به گالری‌ها و لیست‌های برنامه‌های نصب شده و موارد دیگر. این برنامه مضر همچنین با خواندن و استخراج مخاطبین قربانیان، ایمیل ها و پیامک ها (پیام های متنی) اطلاعات را جمع آوری می کند.

علاوه بر این، می‌تواند کدهای Google Authenticator 2FA را از طریق سرویس‌های دسترسی Android جمع‌آوری کند. علاوه بر این، TgToxic می‌تواند ورودی کاربر (keylogging)، اسکرین شات گرفتن و گرفتن عکس از طریق دوربین(های) دستگاه را کنترل کند. هدف نهایی آن ربودن حساب‌های بانکی آنلاین، برنامه‌های کاربردی مرتبط با امور مالی و کیف پول‌های ارزهای دیجیتال است که انجام تراکنش‌های کوچک را بدون دخالت یا دانش کاربر ممکن می‌سازد. با اعطای مجوز بدون ورودی کاربر، TgToxic قادر است از حذف آن جلوگیری کند و نرم افزار امنیتی را برای فرار از تشخیص غیرفعال کند. به طور کلی، این برنامه ناامن تهدیدی قابل توجه برای کاربران اندرویدی است و باید بر این اساس برطرف شود.

سوء استفاده از چارچوب های قانونی

مجرمان سایبری پشت بدافزار اندروید TgToxic از چارچوب‌های اتوماسیون قانونی مانند Easyclick و Autojs برای ایجاد تروجان‌های بانکی پیچیده استفاده می‌کنند که می‌توانند از خدمات دسترسی بهره‌برداری کنند. علیرغم عدم پیچیدگی این تهدید خاص، تکنیک های مورد استفاده مهندسی معکوس برای تجزیه و تحلیل را دشوار می کند. با توجه به سهولت استفاده و ویژگی‌های ضد مهندسی معکوس ارائه شده توسط فریم‌ورک‌ها، این احتمال وجود دارد که در آینده عوامل تهدید بیشتری از این روش استفاده کنند. چنین توسعه ای می تواند تهدیدی جدی برای کاربران اندروید و دستگاه های آنها باشد. بنابراین، همه باید هوشیار بمانند و به طور فعال از سیستم های خود در برابر حملات مخرب محافظت کنند.