TgToxic Mobile Malware
TgToxic ist der Name eines neuen Stamms mobiler Malware, der von einem Team von Sicherheitsforschern überwacht wird. Die Bedrohung besteht spätestens seit Mitte 2022 und zielt auf Opfer in Asien ab.
Das Team, das TgToxic überwachte, entdeckte zuerst gefälschte Facebook-Posts, die einen eingebetteten Link zu einer Phishing-Seite enthielten. Der Köder richtete sich an taiwanesische Facebook-Nutzer und verwendete clevere Social-Engineering-Tricks.
Ungefähr einen Monat später wurden taiwanesische und indonesische Benutzer zum Ziel eines Sextortion-Betrugs, der darauf abzielte, die Opfer dazu zu bringen, sich auf einer bösartigen Seite zu registrieren und dabei ihre Informationen zu stehlen. SMS-Phishing- oder Smishing-Angriffe wurden Anfang 2023 von vermutlich demselben Bedrohungsakteur und derselben Kampagne eingesetzt. Die Opfer waren thailändische Staatsbürger.
Die ursprünglichen betrügerischen Facebook-Posts und die gefälschte Dating-Website, die in der zweiten Welle der TgToxic-Kampagne verwendet wurden, verwendeten ähnliche Domains und teilten wahrscheinlich einen Teil ihrer Infrastruktur. Im Jahr 2023 versuchten die neuen Köder, die von den Hackern hinter TgToxic verwendet wurden, Bankinformationen von thailändischen Benutzern zu stehlen.
Table of Contents
Technische Aspekte von TgToxic
Seltsamerweise stellte sich heraus, dass die TgToxic-Malware auf einem legitimen „Automatisierungstest-Framework“ namens Easyclick basierte. Die Anwendung verwendet JavaScripts, die für die Automatisierung sorgen sollen, aber wenn sie verwendet wurden, entführte sie böswillig die Benutzeroberfläche eines Android-Geräts und ermöglichte es den Angreifern, verwendete Aktivitäten wie Bildschirmtastatureingaben zu überwachen.
Die Tatsache, dass es das Automatisierungs-Framework als Basis verwendet, bedeutet, dass die Hacker, die TgToxic betreiben, ihren eigenen Code entwickeln können, der ihnen weitere böswillige Aktivitäten auf den kompromittierten Geräten ermöglichen kann.
Die Malware befindet sich in aktiver Entwicklung und wird um neue Funktionen und Fähigkeiten erweitert, darunter mehr Datenerfassungs- und Konto-Hijacking-Optionen.
Warum sind mobile Banking-Trojaner eine große Sicherheitsbedrohung?
Mobile-Banking-Trojaner stellen eine große Sicherheitsbedrohung dar, da sie darauf ausgelegt sind, vertrauliche Informationen von Mobilgeräten zu stehlen. Diese Schadprogramme können zum Abfangen von Textnachrichten, zum Zugriff auf Kontaktlisten und sogar zum Zugriff auf Bankkonten verwendet werden. Sie können auch verwendet werden, um andere schädliche Software wie Ransomware oder Spyware auf dem Gerät zu installieren. Mobile-Banking-Trojaner sind besonders gefährlich, da sie von Antivirensoftware oft unentdeckt bleiben und lange Zeit unentdeckt auf dem Gerät verbleiben können. Darüber hinaus können diese bösartigen Programme nach der Installation schwierig zu entfernen sein, was sie zu einem großen Sicherheitsrisiko für Benutzer mobiler Geräte macht.
Was sind böswillige Smishing-Kampagnen?
Böswillige Smishing-Kampagnen sind eine Art von Cyberangriff, bei dem versucht wird, Benutzer mithilfe von Textnachrichten (SMS) dazu zu bringen, vertrauliche Informationen preiszugeben oder bösartige Software herunterzuladen. Der Angreifer sendet normalerweise eine Nachricht, die scheinbar von einer legitimen Quelle stammt, wie z. B. einer Bank oder einem anderen Finanzinstitut, und fordert den Benutzer auf, auf einen Link zu klicken oder persönliche Informationen anzugeben. Wenn der Benutzer auf den Link klickt, wird er möglicherweise zu einer schädlichen Website weitergeleitet, von der Malware auf sein Gerät heruntergeladen wird, oder er kann nach persönlichen Informationen wie Passwörtern oder Kreditkartennummern gefragt werden. Smishing-Angriffe können auch das Senden von Nachrichten beinhalten, die schädliche Links enthalten, die Geräte mit Malware infizieren können, wenn sie angeklickt werden.
