TgToxic Mobile Malware

TgToxic je hrozivý bankový malvér pre Android, ktorý je aktívny v juhovýchodnej Ázii od júla 2022. Využíva rôzne techniky sociálneho inžinierstva, ako sú grafické návnady na obsah orientovaný na dospelých, smishing a taktiky zamerané na kryptomeny na získavanie informácií súvisiacich s financiami od používateľov. Spočiatku sa pozorované kampane zamerali najmä na Taiwan, ale rozsah zlej mysle sa odvtedy rozšíril aj do Thajska a Indonézie. Podrobnosti o malvéri TgToxic Android a súvisiacej útočnej kampani boli verejnosti odhalené v správe, ktorú zverejnili výskumníci z infosec.

Ohrozujúce schopnosti mobilného malvéru TgToxic

Malvér TgToxic Mobile zneužíva služby dostupnosti systému Android na získanie prístupu a kontroly nad systémami. Pomocou týchto služieb môže TgToxic na zariadení vykonávať množstvo invazívnych akcií, ako je zastavenie spánku, odmietnutie alebo schválenie akcií, interakcia s klávesnicou, prístup ku galériám a zoznamom nainštalovaných aplikácií a ďalšie. Škodlivý program tiež zbiera informácie čítaním a exfiltrovaním kontaktov obetí, e-mailov a SMS (textových správ).

Okrem toho môže zbierať kódy Google Authenticator 2FA prostredníctvom služieb dostupnosti systému Android. Okrem toho môže TgToxic monitorovať vstup používateľa (keylogging), robiť snímky obrazovky a zachytávať fotografie prostredníctvom fotoaparátu (kamier) zariadenia. Jeho konečným cieľom je ukradnúť online bankové účty, aplikácie súvisiace s financiami a peňaženky s kryptomenami, čo umožňuje vykonávať malé transakcie bez účasti alebo vedomia používateľa. Udelením povolení bez zásahu používateľa dokáže TgToxic zabrániť jeho odstráneniu a deaktivovať bezpečnostný softvér, aby sa vyhol detekcii. Celkovo tento nebezpečný program predstavuje významnú hrozbu pre používateľov systému Android a je potrebné ho zodpovedajúcim spôsobom riešiť.

Zneužívanie legitímnych rámcov

Kyberzločinci stojaci za malvérom TgToxic Android využívajú legitímne automatizačné rámce ako Easyclick a Autojs, aby vytvorili sofistikované bankové trójske kone, ktoré môžu využívať služby dostupnosti. Napriek nedostatočnej zložitosti tejto konkrétnej hrozby použité techniky sťažujú spätné inžinierstvo analýzy. Vzhľadom na jednoduchosť použitia a antireverzné inžinierstvo, ktoré poskytujú rámce, je pravdepodobné, že túto metódu bude v budúcnosti používať viac aktérov hroziacich. Takýto vývoj by mohol predstavovať vážnu hrozbu pre používateľov Androidu a ich zariadenia. Preto by každý mal zostať ostražitý a proaktívne chrániť svoje systémy pred škodlivými útokmi.