TgToxic 모바일 악성코드

TgToxic은 2022년 7월부터 동남아시아에서 활동하고 있는 위협적인 안드로이드 뱅킹 악성코드입니다. 그래픽 성인용 콘텐츠 미끼, 스미싱, 암호화폐 중심 전술 등 다양한 사회공학적 기법을 활용해 사용자로부터 금융 관련 정보를 획득합니다. 처음에는 관찰된 캠페인이 특히 대만을 대상으로 했지만 악의적인 작업의 범위는 이후 태국과 인도네시아로 확장되었습니다. Infosec 연구원이 발표한 보고서에서 TgToxic Android 맬웨어 및 관련 공격 캠페인에 대한 세부 정보가 대중에게 공개되었습니다.

TgToxic 모바일 멀웨어의 위협적인 기능

TgToxic Mobile 맬웨어는 Android Accessibility Services를 악용하여 시스템에 대한 액세스 및 제어 권한을 얻습니다. TgToxic은 이러한 서비스를 사용하여 장치에서 절전 모드 중지, 작업 거부 또는 승인, 키보드와의 상호 작용, 갤러리 및 설치된 응용 프로그램 목록 액세스 등과 같은 수많은 침입 작업을 수행할 수 있습니다. 유해한 프로그램은 또한 피해자의 연락처, 이메일 및 SMS(문자 메시지)를 읽고 유출하여 정보를 수집합니다.

또한 Android Accessibility Services를 통해 Google Authenticator 2FA 코드를 수집할 수 있습니다. 또한 TgToxic은 사용자 입력(키로깅)을 모니터링하고 장치의 카메라를 통해 스크린샷을 찍고 사진을 캡처할 수 있습니다. 궁극적인 목표는 온라인 은행 계좌, 금융 관련 애플리케이션 및 암호화폐 지갑을 하이재킹하여 사용자 개입이나 지식 없이 소액 거래를 수행할 수 있도록 하는 것입니다. 사용자 입력 없이 권한을 부여함으로써 TgToxic은 제거를 방지하고 보안 소프트웨어를 비활성화하여 탐지를 피할 수 있습니다. 전반적으로 이 안전하지 않은 프로그램은 Android 사용자에게 상당한 위협이 되므로 적절하게 해결해야 합니다.

합법적인 프레임워크 남용

TgToxic Android 맬웨어 배후의 사이버 범죄자는 Easyclick 및 Autojs와 같은 합법적인 자동화 프레임워크를 활용하여 접근성 서비스를 악용할 수 있는 정교한 뱅킹 트로이 목마를 생성합니다. 이 특정 위협의 복잡성이 부족함에도 불구하고 사용된 기술은 분석을 위한 리버스 엔지니어링을 어렵게 만듭니다. 프레임워크가 제공하는 사용 용이성과 리버스 엔지니어링 방지 기능으로 인해 앞으로 더 많은 위협 행위자가 이 방법을 사용할 가능성이 높습니다. 이러한 개발은 Android 사용자와 기기에 심각한 위협이 될 수 있습니다. 따라서 모든 사람은 경계를 늦추지 않고 악의적인 공격으로부터 시스템을 사전에 보호해야 합니다.