TgToxic 移动恶意软件

TgToxic 是一种具有威胁性的 Android 银行恶意软件，自 2022 年 7 月以来一直在东南亚活跃。它利用各种社会工程技术，例如面向成人的图形内容诱饵、短信诈骗和以加密货币为中心的策略，从用户那里获取与金融相关的信息。最初，观察到的活动特别针对台湾，但恶意活动的范围已扩大到泰国和印度尼西亚。信息安全研究人员发布的一份报告向公众披露了有关 TgToxic Android 恶意软件及其相关攻击活动的详细信息。

TgToxic 移动恶意软件的威胁能力

TgToxic Mobile 恶意软件滥用 Android 辅助功能服务来获取对系统的访问和控制。通过使用这些服务，TgToxic 可以在设备上执行多种侵入性操作，例如停止设备休眠、拒绝或批准操作、与键盘交互、访问图库和已安装的应用程序列表等。该有害程序还通过读取和泄露受害者的联系人、电子邮件和 SMS（短信）来收集信息。

此外，它可以通过 Android 辅助功能服务收集 Google Authenticator 2FA 代码。此外，TgToxic 还可以监控用户输入（键盘记录）、截取屏幕截图并通过设备的摄像头拍摄照片。其最终目标是劫持在线银行账户、金融相关应用程序和加密货币钱包——从而可以在用户不参与或不知情的情况下执行小额交易。通过在没有用户输入的情况下授予自己权限，TgToxic 能够防止其被删除并禁用安全软件以逃避检测。总的来说，这个不安全的程序对 Android 用户构成了重大威胁，必须予以相应解决。

滥用合法框架

TgToxic Android 恶意软件背后的网络犯罪分子利用 Easyclick 和 Autojs 等合法自动化框架来创建可以利用辅助功能服务的复杂银行木马。尽管这种特殊威胁并不复杂，但所使用的技术使得逆向工程分析变得困难。由于框架提供的易用性和反逆向工程功能，未来可能会有更多的威胁参与者使用这种方法。这样的发展可能会对 Android 用户及其设备构成严重威胁。因此，每个人都应该保持警惕，主动保护自己的系统免受恶意攻击。