TgToxic Mobile Malware
TgToxic är en hotande skadlig programvara för Android-banker som har varit aktiv i Sydostasien sedan juli 2022. Den använder olika sociala ingenjörstekniker, såsom grafiskt vuxenorienterat innehåll, smishing och kryptovaluta-centrerad taktik för att skaffa finansrelaterad information från användare. Inledningsvis riktade observerade kampanjer sig särskilt till Taiwan, men omfattningen av den misssinnade operationen har sedan dess utökats till Thailand och Indonesien. Detaljer om TgToxic Android malware och dess tillhörande attackkampanj avslöjades för allmänheten i en rapport som släpptes av infosec-forskare.
De hotande funktionerna hos TgToxic Mobile Malware
TgToxic Mobile malware missbrukar Android Accessibility Services för att få tillgång till och kontroll över system. Genom att använda dessa tjänster kan TgToxic utföra många invasiva åtgärder på enheten, som att stoppa den från att sova, neka eller godkänna åtgärder, interagera med tangentbordet, komma åt gallerier och installerade programlistor och mer. Det skadliga programmet samlar också in information genom att läsa och exfiltrera offrens kontakter, mejl och SMS (sms).
Dessutom kan den samla in Google Authenticator 2FA-koder via Android Accessibility Services. Dessutom kan TgToxic övervaka användarinmatningen (keylogging), ta skärmdumpar och ta bilder genom enhetens kameror. Dess slutmål är att kapa bankkonton online, finansrelaterade applikationer och plånböcker för kryptovaluta – vilket gör det möjligt att utföra små transaktioner utan användarens inblandning eller kunskap. Genom att ge sig själv behörighet utan användarinmatning kan TgToxic förhindra att den tas bort och inaktivera säkerhetsprogramvaran för att undvika upptäckt. Sammantaget utgör detta osäkra program ett betydande hot mot Android-användare och måste åtgärdas därefter.
Missbruk av legitima ramar
Cyberbrottslingarna bakom TgToxic Android-skadlig programvara drar fördel av legitima automationsramar som Easyclick och Autojs för att skapa sofistikerade banktrojaner som kan utnyttja tillgänglighetstjänster. Trots detta hots brist på komplexitet, gör de använda teknikerna det svårt att bakåtkonstruera för analys. På grund av den enkla användningen och anti-reverse engineering-funktionerna som tillhandahålls av ramverken är det troligt att fler hotaktörer kommer att använda denna metod i framtiden. En sådan utveckling kan utgöra ett allvarligt hot mot Android-användare och deras enheter. Därför bör alla vara vaksamma och proaktivt skydda sina system mot skadliga attacker.
