TgToxic Mobile Malware

Ang TgToxic ay isang nagbabantang Android banking malware na naging aktibo sa Southeast Asia mula noong Hulyo 2022. Gumagamit ito ng iba't ibang diskarte sa social engineering, gaya ng mga graphic na pang-akit na pang-adult na content, smishing at cryptocurrency-centric na taktika upang makakuha ng impormasyong nauugnay sa pananalapi mula sa mga user. Sa una, ang mga naobserbahang kampanya ay partikular na naka-target sa Taiwan, ngunit ang saklaw ng masamang pag-iisip na operasyon ay lumawak na rin sa Thailand at Indonesia. Ang mga detalye tungkol sa TgToxic Android malware at ang nauugnay na kampanya sa pag-atake ay inihayag sa publiko sa isang ulat na inilabas ng mga mananaliksik ng infosec.

Ang Mga Kakayahang Nagbabanta ng TgToxic Mobile Malware

Inaabuso ng TgToxic Mobile malware ang Android Accessibility Services para makakuha ng access at kontrol sa mga system. Sa pamamagitan ng paggamit ng mga serbisyong ito, ang TgToxic ay maaaring magsagawa ng maraming invasive na pagkilos sa device, tulad ng paghinto nito sa pagtulog, pagtanggi o pag-apruba ng mga aksyon, pakikipag-ugnayan sa keyboard, pag-access sa mga gallery at mga naka-install na listahan ng application at higit pa. Kinukuha din ng mapaminsalang programa ang impormasyon sa pamamagitan ng pagbabasa at pag-exfiltrate ng mga contact, email at SMS (mga text message) ng mga biktima.

Higit pa rito, maaari itong mangolekta ng Google Authenticator 2FA code sa pamamagitan ng Android Accessibility Services. Bukod pa rito, maaaring subaybayan ng TgToxic ang input ng user (keylogging), kumuha ng mga screenshot at kumuha ng mga larawan sa pamamagitan ng (mga) camera ng device. Ang pinakalayunin nito ay ang pag-hijack ng mga online na bank account, mga application na nauugnay sa pananalapi, at mga wallet ng cryptocurrency – na ginagawang posible na magsagawa ng maliliit na transaksyon nang walang paglahok o kaalaman ng user. Sa pamamagitan ng pagbibigay sa sarili ng mga pahintulot nang walang input ng user, napipigilan ng TgToxic ang pag-alis nito at hindi pinagana ang software ng seguridad upang maiwasan ang pagtuklas. Sa pangkalahatan, ang hindi ligtas na program na ito ay nagdudulot ng malaking banta sa mga user ng Android at dapat na matugunan nang naaayon.

Pag-abuso sa Mga Lehitimong Framework

Sinasamantala ng mga cybercriminal sa likod ng TgToxic Android malware ang mga lehitimong automation framework tulad ng Easyclick at Autojs upang lumikha ng mga sopistikadong Trojan sa pagbabangko na maaaring pagsamantalahan ang mga serbisyo ng Accessibility. Sa kabila ng kakulangan ng pagiging kumplikado ng partikular na banta na ito, ang mga diskarteng ginamit ay nagpapahirap sa pag-reverse engineer para sa pagsusuri. Dahil sa kadalian ng paggamit at mga tampok na anti-reverse engineering na ibinigay ng mga frameworks, malamang na mas maraming banta ang gagamit ng paraang ito sa hinaharap. Ang ganitong pag-unlad ay maaaring magdulot ng malubhang banta sa mga user ng Android at sa kanilang mga device. Samakatuwid, ang bawat isa ay dapat manatiling mapagbantay at aktibong protektahan ang kanilang mga sistema laban sa mga pag-atakeng nakakapinsala.