Malware móvil TgToxic
TgToxic es el nombre de una nueva variedad de malware móvil monitoreada por un equipo de investigadores de seguridad. La amenaza existe desde mediados de 2022 a más tardar y está dirigida a víctimas ubicadas en Asia.
El equipo que monitorea TgToxic primero detectó publicaciones falsas de Facebook que contenían un enlace incrustado a una página de phishing. El señuelo estaba dirigido a los usuarios taiwaneses de Facebook y utilizaba ingeniosos trucos de ingeniería social.
Aproximadamente un mes después, los usuarios de Taiwán e Indonesia se convirtieron en el objetivo de una estafa de sextorsión que tenía como objetivo que las víctimas se registraran en una página maliciosa y robaran su información en el proceso. Los ataques de phishing o smishing por SMS fueron utilizados por lo que se cree que es el mismo actor de amenazas y la misma campaña a principios de 2023. Las víctimas eran ciudadanos tailandeses.
Las publicaciones fraudulentas originales de Facebook y el sitio web de citas falso utilizado en la segunda ola de la campaña TgToxic usaban dominios similares y probablemente compartían parte de su infraestructura. En 2023, los nuevos señuelos utilizados por los piratas informáticos detrás de TgToxic intentaban robar información bancaria de los usuarios tailandeses.
Table of Contents
Aspectos técnicos de TgToxic
Curiosamente, el malware TgToxic resultó estar basado en un "marco de prueba de automatización" legítimo llamado Easyclick. La aplicación usa JavaScripts que se supone que proporcionan automatización, pero cuando se usa maliciosamente secuestró la interfaz de un dispositivo Android y permitió a los actores de amenazas monitorear la actividad utilizada, como las entradas del teclado en pantalla.
El hecho de que utilice el marco de automatización como base significa que los piratas informáticos que operan TgToxic pueden crear su propio código que les permita realizar más actividades maliciosas en los dispositivos comprometidos.
El malware se encuentra en desarrollo activo y se está ampliando con nuevas características y capacidades, incluidas más opciones de recopilación de datos y secuestro de cuentas.
¿Por qué los troyanos bancarios móviles son una importante amenaza para la seguridad?
Los troyanos bancarios móviles son una gran amenaza para la seguridad porque están diseñados para robar información confidencial de los dispositivos móviles. Estos programas maliciosos se pueden utilizar para interceptar mensajes de texto, acceder a listas de contactos e incluso obtener acceso a cuentas bancarias. También se pueden usar para instalar otro software malicioso en el dispositivo, como ransomware o spyware. Los troyanos bancarios móviles son particularmente peligrosos porque a menudo no son detectados por el software antivirus y pueden permanecer en el dispositivo durante largos períodos de tiempo sin ser detectados. Además, estos programas maliciosos pueden ser difíciles de eliminar una vez instalados, lo que los convierte en un importante riesgo de seguridad para los usuarios de dispositivos móviles.
¿Qué son las campañas maliciosas de smishing?
Las campañas maliciosas de smishing son un tipo de ataque cibernético que utiliza mensajes de texto (SMS) para tratar de engañar a los usuarios para que proporcionen información confidencial o descarguen software malicioso. El atacante generalmente enviará un mensaje que parece provenir de una fuente legítima, como un banco u otra institución financiera, y le pide al usuario que haga clic en un enlace o proporcione información personal. Si el usuario hace clic en el enlace, puede ser redirigido a un sitio web malicioso donde se descarga malware en su dispositivo, o se le puede solicitar información personal, como contraseñas o números de tarjetas de crédito. Los ataques de smishing también pueden implicar el envío de mensajes que contienen enlaces maliciosos que pueden infectar dispositivos con malware cuando se hace clic en ellos.
