TgToxic Mobil Kötü Amaçlı Yazılım
TgToxic, Temmuz 2022'den beri Güneydoğu Asya'da aktif olan, tehdit edici bir Android bankacılığı kötü amaçlı yazılımıdır. Kullanıcılardan finansla ilgili bilgileri elde etmek için yetişkinlere yönelik grafik içerik tuzakları, smishing ve kripto para merkezli taktikler gibi çeşitli sosyal mühendislik teknikleri kullanır. Başlangıçta gözlemlenen kampanyalar özellikle Tayvan'ı hedef aldı, ancak kötü niyetli operasyonun kapsamı o zamandan beri Tayland ve Endonezya'yı da kapsayacak şekilde genişledi. TgToxic Android kötü amaçlı yazılımı ve ilgili saldırı kampanyasıyla ilgili ayrıntılar, infosec araştırmacıları tarafından yayınlanan bir raporda halka açıklandı.
TgToxic Mobil Kötü Amaçlı Yazılımın Tehdit Edici Yetenekleri
TgToxic Mobile kötü amaçlı yazılımı, sistemler üzerinde erişim ve kontrol elde etmek için Android Erişilebilirlik Hizmetlerini kötüye kullanır. TgToxic, bu hizmetleri kullanarak, cihaz üzerinde uyku modundan çıkarmak, eylemleri reddetmek veya onaylamak, klavyeyle etkileşimde bulunmak, galerilere ve yüklü uygulama listelerine erişmek ve daha fazlası gibi çok sayıda invaziv eylem gerçekleştirebilir. Zararlı program ayrıca kurbanların kişilerini, e-postalarını ve SMS'lerini (metin mesajları) okuyarak ve sızdırarak bilgi toplar.
Ayrıca, Android Erişilebilirlik Hizmetleri aracılığıyla Google Authenticator 2FA kodlarını toplayabilir. Ek olarak, TgToxic, kullanıcı girişini izleyebilir (keylogging), ekran görüntüleri alabilir ve cihazın kamera(lar)ı aracılığıyla fotoğraf çekebilir. Nihai hedefi, çevrimiçi banka hesaplarını, finansla ilgili uygulamaları ve kripto para cüzdanlarını ele geçirerek, kullanıcının katılımı veya bilgisi olmadan küçük işlemlerin gerçekleştirilmesini mümkün kılmaktır. TgToxic, kullanıcı girişi olmadan kendisine izin vererek, kaldırılmasını önleyebilir ve tespit edilmekten kaçınmak için güvenlik yazılımını devre dışı bırakabilir. Genel olarak, bu güvenli olmayan program, Android kullanıcıları için önemli bir tehdit oluşturur ve buna göre ele alınmalıdır.
Meşru Çerçeveleri Suistimal Etmek
TgToxic Android kötü amaçlı yazılımının arkasındaki siber suçlular, Erişilebilirlik hizmetlerinden yararlanabilecek gelişmiş bankacılık Truva Atları oluşturmak için Easyclick ve Autojs gibi meşru otomasyon çerçevelerinden yararlanır. Bu belirli tehdidin karmaşık olmamasına rağmen, kullanılan teknikler analiz için tersine mühendislik yapmayı zorlaştırıyor. Çerçevelerin sağladığı kullanım kolaylığı ve anti-tersine mühendislik özellikleri nedeniyle, gelecekte daha fazla tehdit aktörünün bu yöntemi kullanması muhtemeldir. Böyle bir gelişme, Android kullanıcıları ve cihazları için ciddi bir tehdit oluşturabilir. Bu nedenle, herkes tetikte olmalı ve sistemlerini önyargılı saldırılara karşı proaktif olarak korumalıdır.
