TgToxic Mobile Malware

TgToxic je prijeteći bankovni zlonamjerni softver za Android koji je aktivan u jugoistočnoj Aziji od srpnja 2022. Koristi se različitim tehnikama društvenog inženjeringa, kao što su grafički mamci za sadržaj usmjeren na odrasle, nasmijavanje i taktike usmjerene na kriptovalute za prikupljanje informacija povezanih s financijama od korisnika. U početku su promatrane kampanje bile posebno usmjerene na Tajvan, no djelokrug zlonamjerne operacije od tada se proširio i na Tajland i Indoneziju. Pojedinosti o zlonamjernom softveru za Android TgToxic i njegovoj povezanoj kampanji napada otkrivene su javnosti u izvješću koje su objavili istraživači Infoseca.

Prijeteće mogućnosti zlonamjernog softvera za mobilne uređaje TgToxic

Zlonamjerni softver TgToxic Mobile zlorabi usluge pristupačnosti Androida kako bi dobio pristup i kontrolu nad sustavima. Korištenjem ovih usluga, TgToxic može izvesti brojne invazivne radnje na uređaju, kao što je zaustavljanje mirovanja, odbijanje ili odobravanje radnji, interakcija s tipkovnicom, pristup galerijama i popisima instaliranih aplikacija i više. Štetni program također skuplja informacije čitajući i ekstrahirajući kontakte, e-poštu i SMS-ove (tekstualne poruke) žrtava.

Nadalje, može prikupljati Google Authenticator 2FA kodove putem Android Accessibility Services. Uz to, TgToxic može nadzirati korisnički unos (keylogging), snimati snimke zaslona i fotografije putem kamere(a) uređaja. Njegov krajnji cilj je preoteti internetske bankovne račune, aplikacije povezane s financijama i novčanike s kriptovalutama – što omogućuje izvođenje malih transakcija bez sudjelovanja ili znanja korisnika. Dajući sebi dopuštenja bez korisničkog unosa, TgToxic može spriječiti njegovo uklanjanje i onemogućiti sigurnosni softver kako bi izbjegao otkrivanje. Općenito, ovaj nesiguran program predstavlja značajnu prijetnju za korisnike Androida i potrebno ga je postupati u skladu s tim.

Zlouporaba legitimnih okvira

Cyberkriminalci koji stoje iza zlonamjernog softvera TgToxic za Android iskorištavaju prednosti legitimnih okvira automatizacije kao što su Easyclick i Autojs za stvaranje sofisticiranih bankarskih trojanaca koji mogu iskorištavati usluge pristupačnosti. Unatoč nedostatku složenosti ove prijetnje, korištene tehnike otežavaju obrnuti inženjering za analizu. Zbog jednostavnosti upotrebe i značajki protiv obrnutog inženjeringa koje pružaju okviri, vjerojatno će više aktera prijetnji koristiti ovu metodu u budućnosti. Takav bi razvoj mogao predstavljati ozbiljnu prijetnju korisnicima Androida i njihovim uređajima. Stoga bi svi trebali ostati na oprezu i proaktivno zaštititi svoje sustave od štetnih napada.