TgToxic Mobile Malware

O TgToxic é um malware bancário ameaçador para o Android, que está ativo no Sudeste Asiático desde julho de 2022. Ele utiliza várias técnicas de engenharia social, como iscas gráficas de conteúdo adulto, smishing e táticas centradas em criptomoedas para adquirir informações financeiras dos usuários. Inicialmente, as campanhas observadas visavam Taiwan em particular, mas o escopo da operação mal-intencionada também se expandiu para a Tailândia e a Indonésia. Detalhes sobre o malware TgToxic para o Android e sua campanha de ataque associada foram revelados ao público em um relatório divulgado por pesquisadores da infosec.

Os Recursos Ameaçadores do TgToxic Mobile Malware

O malware TgToxic Mobile abusa dos Serviços de Acessibilidade do Android para obter acesso e controle sobre os sistemas. Ao usar esses serviços, o TgToxic pode realizar inúmeras ações invasivas no dispositivo, como impedi-lo de dormir, negar ou aprovar ações, interagir com o teclado, acessar galerias e listas de aplicativos instalados e muito mais. O programa prejudicial também coleta informações lendo e exfiltrando contatos, e-mails e SMSs (mensagens de texto) das vítimas.

Além disso, ele pode coletar códigos 2FA do Google Authenticator por meio dos serviços de acessibilidade do Android. Além disso, o TgToxic pode monitorar a entrada do usuário (keylogging), tirar screenshots e capturar fotos através da(s) câmera(s) do dispositivo. Seu objetivo final é sequestrar contas bancárias online, aplicativos relacionados a finanças e carteiras de criptomoedas – possibilitando a realização de pequenas transações sem o envolvimento ou conhecimento do usuário. Ao conceder a si mesmo permissões sem entrada do usuário, o TgToxic é capaz de impedir sua remoção e desabilitar o software de segurança para evitar a detecção. No geral, este programa inseguro representa uma ameaça significativa para os usuários do Android e deve ser tratado adequadamente.

Abusando de Estruturas Legítimas

Os cibercriminosos por trás do malware TgToxic para o Android aproveitam as estruturas de automação legítimas, como Easyclick e Autojs, para criar sofisticados cavalos de Tróia bancários que podem explorar os serviços de acessibilidade. Apesar da falta de complexidade dessa ameaça específica, as técnicas usadas dificultam a engenharia reversa para análise. Devido à facilidade de uso e aos recursos anti-engenharia reversa fornecidos pelas estruturas, é provável que mais agentes de ameaças usem esse método no futuro. Tal desenvolvimento pode representar uma séria ameaça para os usuários do Android e seus dispositivos. Portanto, todos devem ficar vigilantes e proteger proativamente seus sistemas contra ataques prejudiciais.