Mobilne złośliwe oprogramowanie TgToxic

TgToxic to groźne złośliwe oprogramowanie bankowe dla systemu Android, które jest aktywne w Azji Południowo-Wschodniej od lipca 2022 r. Wykorzystuje ono różne techniki inżynierii społecznej, takie jak graficzne przynęty na treści dla dorosłych, smishing i taktyki skoncentrowane na kryptowalutach, w celu pozyskiwania od użytkowników informacji związanych z finansami. Początkowo obserwowane kampanie wymierzone były w szczególności w Tajwan, ale od tego czasu zakres tej bezmyślnej operacji rozszerzył się również na Tajlandię i Indonezję. Szczegóły dotyczące złośliwego oprogramowania TgToxic dla Androida i powiązanej z nim kampanii ataków zostały ujawnione opinii publicznej w raporcie opublikowanym przez badaczy z infosec.

Zagrożone możliwości mobilnego złośliwego oprogramowania TgToxic

Szkodliwe oprogramowanie TgToxic Mobile wykorzystuje usługi ułatwień dostępu Androida w celu uzyskania dostępu i kontroli nad systemami. Korzystając z tych usług, TgToxic może wykonywać wiele inwazyjnych działań na urządzeniu, takich jak powstrzymywanie go od uśpienia, odrzucanie lub zatwierdzanie działań, interakcja z klawiaturą, uzyskiwanie dostępu do galerii i list zainstalowanych aplikacji i nie tylko. Szkodliwy program zbiera również informacje, czytając i eksfiltrując kontakty ofiar, e-maile i SMS-y (wiadomości tekstowe).

Ponadto może zbierać kody Google Authenticator 2FA za pośrednictwem usług ułatwień dostępu Androida. Dodatkowo TgToxic może monitorować dane wprowadzane przez użytkownika (rejestrowanie klawiszy), robić zrzuty ekranu i robić zdjęcia za pomocą aparatu (aparatów) urządzenia. Jego ostatecznym celem jest przejęcie kontroli nad internetowymi kontami bankowymi, aplikacjami związanymi z finansami oraz portfelami kryptowalut – umożliwiając przeprowadzanie niewielkich transakcji bez udziału i wiedzy użytkownika. Przyznając sobie uprawnienia bez udziału użytkownika, TgToxic jest w stanie zapobiec jego usunięciu i wyłączyć oprogramowanie zabezpieczające, aby uniknąć wykrycia. Ogólnie rzecz biorąc, ten niebezpieczny program stanowi poważne zagrożenie dla użytkowników Androida i należy się nim odpowiednio zająć.

Nadużywanie uzasadnionych ram

Cyberprzestępcy stojący za złośliwym oprogramowaniem TgToxic dla Androida wykorzystują legalne platformy automatyzacji, takie jak Easyclick i Autojs, do tworzenia wyrafinowanych trojanów bankowych, które mogą wykorzystywać usługi ułatwień dostępu. Pomimo braku złożoności tego szczególnego zagrożenia, stosowane techniki utrudniają inżynierię wsteczną do celów analizy. Ze względu na łatwość użycia i funkcje zapobiegające inżynierii wstecznej zapewniane przez ramy, prawdopodobne jest, że w przyszłości z tej metody będzie korzystać więcej cyberprzestępców. Taki rozwój sytuacji może stanowić poważne zagrożenie dla użytkowników Androida i ich urządzeń. Dlatego każdy powinien zachować czujność i proaktywnie chronić swoje systemy przed szkodliwymi atakami.