Зловмисне програмне забезпечення для мобільних пристроїв TgToxic
TgToxic — це загрозливе банківське шкідливе програмне забезпечення для Android, яке активно працює в Південно-Східній Азії з липня 2022 року. Воно використовує різні методи соціальної інженерії, як-от графічні приманки для дорослих, смішинг і тактики, орієнтовані на криптовалюту, для отримання від користувачів інформації, пов’язаної з фінансами. Спочатку спостережувані кампанії були націлені, зокрема, на Тайвань, але згодом масштаби недоброзичливої операції поширилися також на Таїланд та Індонезію. Подробиці про зловмисне програмне забезпечення TgToxic для Android і пов’язану з ним кампанію атак було розкрито громадськості в звіті, опублікованому дослідниками Infosec.
Загрозливі можливості шкідливого програмного забезпечення для мобільних пристроїв TgToxic
Зловмисне програмне забезпечення TgToxic Mobile зловживає службами доступності Android, щоб отримати доступ до систем і контроль над ними. Використовуючи ці служби, TgToxic може виконувати численні інвазивні дії на пристрої, наприклад зупиняти його в режимі сну, забороняти або схвалювати дії, взаємодіяти з клавіатурою, отримувати доступ до галерей і списків встановлених програм тощо. Шкідлива програма також збирає інформацію, зчитуючи та викрадаючи контакти, електронні листи та SMS (текстові повідомлення) жертв.
Крім того, він може збирати коди Google Authenticator 2FA через Android Accessibility Services. Крім того, TgToxic може відстежувати введення користувача (кейлогінг), робити знімки екрана та знімати фотографії за допомогою камери пристрою. Його кінцевою метою є викрадення онлайн-банківських рахунків, програм, пов’язаних з фінансами, і криптовалютних гаманців, що робить можливим виконання невеликих транзакцій без участі або відома користувача. Надаючи собі дозволи без участі користувача, TgToxic може запобігти його видаленню та вимкнути програмне забезпечення безпеки, щоб уникнути виявлення. Загалом, ця небезпечна програма становить значну загрозу для користувачів Android, і її потрібно вирішувати відповідним чином.
Зловживання легітимними рамками
Кіберзлочинці, що стоять за зловмисним програмним забезпеченням TgToxic для Android, використовують переваги законних інфраструктур автоматизації, таких як Easyclick і Autojs, для створення складних банківських троянів, які можуть використовувати служби доступності. Незважаючи на нескладність цієї конкретної загрози, використовувані методи ускладнюють зворотне проектування для аналізу. Завдяки простоті використання та функціям захисту від зворотного проектування, які надають фреймворки, цілком імовірно, що більше учасників загрози використовуватимуть цей метод у майбутньому. Подібний розвиток подій може становити серйозну загрозу для користувачів Android та їхніх пристроїв. Тому кожен має бути пильним і завчасно захищати свої системи від шкідливих атак.
