TgToxic Mobile Malware

A TgToxic egy fenyegető Android banki rosszindulatú program, amely 2022 júliusa óta működik Délkelet-Ázsiában. Különféle social engineering technikákat alkalmaz, mint például grafikus felnőtt-orientált tartalomcsalogatók, smishing és kriptovaluta-centrikus taktika, hogy pénzügyekkel kapcsolatos információkat szerezzen be a felhasználóktól. Kezdetben a megfigyelt kampányok elsősorban Tajvant célozták meg, de a meggondolatlan akció hatóköre azóta Thaiföldre és Indonéziára is kiterjedt. A TgToxic Android kártevőről és a hozzá kapcsolódó támadókampányról az infosec kutatói által közzétett jelentésben tártak fel részleteket a nyilvánosság számára.

A TgToxic Mobile Malware fenyegető képességei

A TgToxic Mobile rosszindulatú program visszaél az Android Accessibility Services szolgáltatásaival, hogy hozzáférést és irányítást szerezzen a rendszerek felett. E szolgáltatások használatával a TgToxic számos invazív műveletet hajthat végre az eszközön, például leállíthatja az alvó állapotát, megtagadhatja vagy jóváhagyhatja a műveleteket, interakciót folytathat a billentyűzettel, hozzáférhet a galériákhoz és a telepített alkalmazások listáihoz stb. A káros program az áldozatok névjegyeinek, e-mailjeinek és SMS-einek (szöveges üzeneteinek) elolvasásával és kiszűrésével is információkat gyűjt.

Ezenkívül képes gyűjteni a Google Authenticator 2FA kódokat az Android kisegítő szolgáltatásokon keresztül. Ezenkívül a TgToxic képes figyelni a felhasználói bevitelt (billentyűnaplózás), képernyőképeket készíteni és fényképeket készíteni az eszköz kameráján keresztül. Végső célja az online bankszámlák, pénzügyekkel kapcsolatos alkalmazások és kriptovaluta pénztárcák eltérítése – lehetővé téve kis tranzakciók végrehajtását a felhasználó bevonása és ismerete nélkül. Azáltal, hogy felhasználói beavatkozás nélkül ad magának engedélyeket, a TgToxic képes megakadályozni az eltávolítását, és letiltani a biztonsági szoftvereket, hogy elkerülje az észlelést. Összességében ez a nem biztonságos program jelentős veszélyt jelent az Android-felhasználók számára, és ennek megfelelően kell kezelni.

A törvényes keretrendszerekkel való visszaélés

A TgToxic Android rosszindulatú program mögött álló kiberbűnözők kihasználják az olyan legitim automatizálási keretrendszereket, mint az Easyclick és az Autojs, hogy kifinomult banki trójaiakat hozzanak létre, amelyek kihasználhatják az akadálymentesítési szolgáltatásokat. Annak ellenére, hogy ez a különleges fenyegetés nem bonyolult, az alkalmazott technikák megnehezítik az elemzéshez szükséges visszafejtést. A keretrendszerek által biztosított egyszerű használhatóság és visszafordítás elleni védelem miatt valószínű, hogy a jövőben több fenyegetettség is alkalmazza majd ezt a módszert. Egy ilyen fejlesztés komoly veszélyt jelenthet az Android felhasználókra és eszközeikre. Ezért mindenkinek ébernek kell maradnia, és proaktívan védenie kell rendszerét az ártalmas támadásokkal szemben.