TgToxic 移動惡意軟件

TgToxic 是一種具有威脅性的 Android 銀行惡意軟件，自 2022 年 7 月以來一直在東南亞活躍。它利用各種社會工程技術，例如面向成人的圖形內容誘餌、短信詐騙和以加密貨幣為中心的策略，從用戶那裡獲取與金融相關的信息。最初，觀察到的活動特別針對台灣，但惡意活動的範圍已擴大到泰國和印度尼西亞。信息安全研究人員發布的一份報告向公眾披露了有關 TgToxic Android 惡意軟件及其相關攻擊活動的詳細信息。

TgToxic 移動惡意軟件的威脅能力

TgToxic Mobile 惡意軟件濫用 Android 輔助功能服務來獲取對系統的訪問和控制。通過使用這些服務，TgToxic 可以在設備上執行多種侵入性操作，例如停止設備休眠、拒絕或批准操作、與鍵盤交互、訪問圖庫和已安裝的應用程序列表等。該有害程序還通過讀取和洩露受害者的聯繫人、電子郵件和 SMS（短信）來收集信息。

此外，它可以通過 Android 輔助功能服務收集 Google Authenticator 2FA 代碼。此外，TgToxic 還可以監控用戶輸入（鍵盤記錄）、截取屏幕截圖並通過設備的攝像頭拍攝照片。其最終目標是劫持在線銀行賬戶、金融相關應用程序和加密貨幣錢包——從而可以在用戶不參與或不知情的情況下執行小額交易。通過在沒有用戶輸入的情況下授予自己權限，TgToxic 能夠防止其被刪除並禁用安全軟件以逃避檢測。總的來說，這個不安全的程序對 Android 用戶構成了重大威脅，必須予以相應解決。

濫用合法框架

TgToxic Android 惡意軟件背後的網絡犯罪分子利用 Easyclick 和 Autojs 等合法自動化框架來創建可以利用輔助功能服務的複雜銀行木馬。儘管這種特殊威脅並不復雜，但所使用的技術使得逆向工程分析變得困難。由於框架提供的易用性和反逆向工程功能，未來可能會有更多的威脅參與者使用這種方法。這樣的發展可能會對 Android 用戶及其設備構成嚴重威脅。因此，每個人都應該保持警惕，主動保護自己的系統免受惡意攻擊。