TgToxic Mobile Malware

TgToxic je nevarna zlonamerna programska oprema za bančništvo Android, ki je aktivna v jugovzhodni Aziji od julija 2022. Uporablja različne tehnike socialnega inženiringa, kot so grafične vabe vsebine, usmerjene v odrasle, nasmeh in taktike, osredotočene na kriptovalute, za pridobivanje informacij, povezanih s financami, od uporabnikov. Sprva so bile opazovane kampanje usmerjene zlasti na Tajvan, vendar se je obseg zlonamerne operacije od takrat razširil tudi na Tajsko in Indonezijo. Podrobnosti o zlonamerni programski opremi Android TgToxic in z njo povezani napadalni kampanji so bile razkrite javnosti v poročilu, ki so ga objavili raziskovalci infosec.

Nevarne zmogljivosti zlonamerne programske opreme za mobilne naprave TgToxic

Zlonamerna programska oprema TgToxic Mobile zlorablja storitve Android Accessibility Services za pridobitev dostopa in nadzora nad sistemi. Z uporabo teh storitev lahko TgToxic izvede številna invazivna dejanja na napravi, kot je zaustavitev spanja, zavrnitev ali odobritev dejanj, interakcija s tipkovnico, dostop do galerij in seznamov nameščenih aplikacij in več. Škodljivi program pridobiva informacije tudi z branjem in izločanjem kontaktov, e-pošte in SMS-ov (besedilnih sporočil) žrtev.

Poleg tega lahko zbira kode Google Authenticator 2FA prek storitev Android Accessibility Services. Poleg tega lahko TgToxic spremlja uporabniški vnos (keylogging), posname posnetke zaslona in zajame fotografije s kamero(-ami) naprave. Njegov končni cilj je ugrabitev spletnih bančnih računov, aplikacij, povezanih s financami, in denarnic za kriptovalute – kar omogoča izvajanje majhnih transakcij brez sodelovanja ali vednosti uporabnika. S podelitvijo dovoljenj brez uporabniškega vnosa lahko TgToxic prepreči njegovo odstranitev in onemogoči varnostno programsko opremo, da se izogne zaznavanju. Na splošno ta nevaren program predstavlja veliko nevarnost za uporabnike Androida in ga je treba ustrezno obravnavati.

Zloraba zakonitih okvirov

Kibernetski kriminalci, ki stojijo za zlonamerno programsko opremo za Android TgToxic, izkoriščajo zakonita ogrodja za avtomatizacijo, kot sta Easyclick in Autojs, da ustvarijo prefinjene bančne trojance, ki lahko izkoriščajo storitve dostopnosti. Kljub nezapletenosti te posebne grožnje je zaradi uporabljenih tehnik težko izvesti obratni inženiring za analizo. Zaradi enostavne uporabe in funkcij proti povratnemu inženiringu, ki jih zagotavljajo ogrodja, je verjetno, da bo to metodo v prihodnosti uporabljalo več akterjev groženj. Takšen razvoj bi lahko resno ogrozil uporabnike Androida in njihove naprave. Zato bi morali vsi ostati pozorni in proaktivno zaščititi svoje sisteme pred škodljivimi napadi.