Malware mobile TgToxic

TgToxic è un minaccioso malware bancario per Android che è attivo nel sud-est asiatico dal luglio 2022. Utilizza varie tecniche di ingegneria sociale, come esche grafiche per contenuti per adulti, smishing e tattiche incentrate sulla criptovaluta per acquisire informazioni finanziarie dagli utenti. Inizialmente, le campagne osservate miravano in particolare a Taiwan, ma da allora la portata dell'operazione sconsiderata si è estesa anche alla Thailandia e all'Indonesia. I dettagli sul malware Android TgToxic e la relativa campagna di attacco sono stati rivelati al pubblico in un rapporto pubblicato dai ricercatori di infosec.

Le capacità minacciose del malware mobile TgToxic

Il malware TgToxic Mobile abusa dei servizi di accessibilità Android per ottenere l'accesso e il controllo sui sistemi. Utilizzando questi servizi, TgToxic può eseguire numerose azioni invasive sul dispositivo, come interromperne la sospensione, negare o approvare azioni, interagire con la tastiera, accedere a gallerie ed elenchi di applicazioni installate e altro ancora. Il programma dannoso raccoglie anche informazioni leggendo ed estraendo contatti, e-mail e SMS (messaggi di testo) delle vittime.

Inoltre, può raccogliere i codici 2FA di Google Authenticator tramite i servizi di accessibilità Android. Inoltre, TgToxic può monitorare l'input dell'utente (keylogging), acquisire schermate e acquisire foto attraverso la fotocamera o le fotocamere del dispositivo. Il suo obiettivo finale è dirottare conti bancari online, applicazioni finanziarie e portafogli di criptovaluta, rendendo possibile eseguire piccole transazioni senza il coinvolgimento o la conoscenza dell'utente. Concedendosi le autorizzazioni senza l'input dell'utente, TgToxic è in grado di impedirne la rimozione e disabilitare il software di sicurezza per eludere il rilevamento. Nel complesso, questo programma non sicuro rappresenta una minaccia significativa per gli utenti Android e deve essere affrontato di conseguenza.

Abuso di quadri legittimi

I criminali informatici dietro il malware Android TgToxic sfruttano framework di automazione legittimi come Easyclick e Autojs per creare trojan bancari sofisticati in grado di sfruttare i servizi di accessibilità. Nonostante la mancanza di complessità di questa particolare minaccia, le tecniche utilizzate rendono difficile il reverse engineering per l'analisi. A causa della facilità d'uso e delle funzionalità anti-reverse engineering fornite dai framework, è probabile che in futuro un numero maggiore di attori delle minacce utilizzerà questo metodo. Un tale sviluppo potrebbe rappresentare una seria minaccia per gli utenti Android e i loro dispositivi. Pertanto, tutti dovrebbero rimanere vigili e proteggere in modo proattivo i propri sistemi da attacchi pregiudizievoli.