TgToxic mobil skadelig programvare

TgToxic er en truende Android-bankprogramvare som har vært aktiv i Sørøst-Asia siden juli 2022. Den bruker ulike sosiale ingeniørteknikker, for eksempel grafisk voksen-orientert innhold lokker, smishing og kryptovaluta-sentriske taktikker for å skaffe finansrelatert informasjon fra brukere. I utgangspunktet var observerte kampanjer spesielt rettet mot Taiwan, men omfanget av den dårlige operasjonen har siden utvidet seg til Thailand og Indonesia også. Detaljer om TgToxic Android-malware og tilhørende angrepskampanje ble avslørt for offentligheten i en rapport utgitt av infosec-forskere.

De truende egenskapene til TgToxic Mobile Malware

TgToxic Mobile malware misbruker Android Accessibility Services for å få tilgang og kontroll over systemene. Ved å bruke disse tjenestene kan TgToxic utføre en rekke invasive handlinger på enheten, som å stoppe den fra å sove, nekte eller godkjenne handlinger, samhandle med tastaturet, få tilgang til gallerier og installerte applikasjonslister og mer. Det skadelige programmet høster også informasjon ved å lese og eksfiltrere ofrenes kontakter, e-poster og SMSer (tekstmeldinger).

Videre kan den samle inn Google Authenticator 2FA-koder via Android Accessibility Services. I tillegg kan TgToxic overvåke brukerinndata (keylogging), ta skjermbilder og ta bilder gjennom enhetens kamera(er). Det endelige målet er å kapre nettbankkontoer, finansrelaterte applikasjoner og kryptovaluta-lommebøker – noe som gjør det mulig å utføre små transaksjoner uten brukerens involvering eller kunnskap. Ved å gi seg selv tillatelser uten brukerinndata, er TgToxic i stand til å forhindre fjerning og deaktivere sikkerhetsprogramvare for å unngå oppdagelse. Totalt sett utgjør dette usikre programmet en betydelig trussel for Android-brukere og må håndteres deretter.

Misbruk av legitime rammer

Nettkriminelle bak TgToxic Android-malware utnytter legitime automatiseringsrammer som Easyclick og Autojs for å lage sofistikerte banktrojanere som kan utnytte tilgjengelighetstjenester. Til tross for denne spesielle trusselens mangel på kompleksitet, gjør teknikkene som brukes det vanskelig å reversere for analyse. På grunn av brukervennligheten og anti-reverse engineering-funksjonene som tilbys av rammeverket, er det sannsynlig at flere trusselaktører vil bruke denne metoden i fremtiden. En slik utvikling kan utgjøre en alvorlig trussel for Android-brukere og deres enheter. Derfor bør alle være på vakt og proaktivt beskytte systemene sine mot fordomsfulle angrep.