TgToxic mobiele malware

TgToxic is een bedreigende malware voor Android-bankieren die sinds juli 2022 actief is in Zuidoost-Azië. Het maakt gebruik van verschillende social engineering-technieken, zoals grafische inhoud voor volwassenen, smishing en cryptocurrency-gerichte tactieken om financiële informatie van gebruikers te verkrijgen. Aanvankelijk waren geobserveerde campagnes vooral gericht op Taiwan, maar de reikwijdte van de kwaadwillige operatie is sindsdien ook uitgebreid naar Thailand en Indonesië. Details over de TgToxic Android-malware en de bijbehorende aanvalscampagne werden openbaar gemaakt in een rapport van infosec-onderzoekers.

De bedreigende mogelijkheden van de mobiele TgToxic-malware

De TgToxic Mobile-malware misbruikt de Android Accessibility Services om toegang te krijgen tot en controle te krijgen over systemen. Door deze services te gebruiken, kan TgToxic tal van invasieve acties op het apparaat uitvoeren, zoals het stoppen met slapen, het weigeren of goedkeuren van acties, interactie met het toetsenbord, toegang tot galerijen en geïnstalleerde applicatielijsten en meer. Het schadelijke programma verzamelt ook informatie door de contacten, e-mails en sms'jes (tekstberichten) van slachtoffers te lezen en te exfiltreren.

Bovendien kan het Google Authenticator 2FA-codes verzamelen via de Android Accessibility Services. Bovendien kan TgToxic de gebruikersinvoer monitoren (keylogging), screenshots maken en foto's maken via de camera('s) van het apparaat. Het uiteindelijke doel is om online bankrekeningen, financiële applicaties en cryptocurrency-portefeuilles te kapen, waardoor het mogelijk wordt om kleine transacties uit te voeren zonder tussenkomst of medeweten van de gebruiker. Door zichzelf machtigingen te verlenen zonder input van de gebruiker, kan TgToxic de verwijdering ervan voorkomen en beveiligingssoftware uitschakelen om detectie te omzeilen. Over het algemeen vormt dit onveilige programma een aanzienlijke bedreiging voor Android-gebruikers en moet het dienovereenkomstig worden aangepakt.

Misbruik van legitieme kaders

De cybercriminelen achter de TgToxic Android-malware profiteren van legitieme automatiseringsframeworks zoals Easyclick en Autojs om geavanceerde bank-trojans te creëren die toegankelijkheidsservices kunnen misbruiken. Ondanks het gebrek aan complexiteit van deze specifieke dreiging, maken de gebruikte technieken het moeilijk om te reverse-engineeren voor analyse. Vanwege het gebruiksgemak en de anti-reverse engineering-functies die door de frameworks worden geboden, is het waarschijnlijk dat meer bedreigingsactoren deze methode in de toekomst zullen gebruiken. Een dergelijke ontwikkeling kan een serieuze bedreiging vormen voor Android-gebruikers en hun apparaten. Daarom moet iedereen waakzaam blijven en zijn systemen proactief beschermen tegen schadelijke aanvallen.