TgToxic Mobile Malware
A TgToxic a mobil rosszindulatú programok új törzsének a neve, amelyet egy biztonsági kutatócsoport figyel. A fenyegetés legkésőbb 2022 közepe óta létezik, és Ázsiában élő áldozatokra irányul.
A TgToxicot figyelő csapat először észlelt hamis Facebook-bejegyzéseket, amelyek egy adathalász oldalra mutató beágyazott linket tartalmaztak. A csalit a tajvani Facebook-felhasználóknak szánták, és ügyes social engineering trükköket alkalmaztak.
Nagyjából egy hónappal később a tajvani és indonéz felhasználók egy szextorziós csalás célpontjává váltak, amelynek célja az volt, hogy az áldozatok regisztráljanak egy rosszindulatú oldalon, és eközben ellopják adataikat. Az SMS-es adathalászat vagy smishing támadásokat egy vélhetően ugyanaz a fenyegetés szereplője és kampánya használta 2023 elején. Az áldozatok thai állampolgárok voltak.
Az eredeti hamis Facebook-bejegyzések és a TgToxic kampány második hullámában használt hamis társkereső webhely hasonló domaineket használt, és valószínűleg megosztották infrastruktúrájuk egy részét. 2023-ban a TgToxic mögött álló hackerek által használt új csalik banki információkat próbáltak ellopni a thaiföldi felhasználóktól.
Table of Contents
A TgToxic műszaki vonatkozásai
Érdekes módon kiderült, hogy a TgToxic rosszindulatú program egy Easyclick nevű legitim "automatizálási teszt keretrendszeren" alapul. Az alkalmazás JavaScript-kódokat használ, amelyeknek automatizálást kellene biztosítaniuk, de amikor használták, rosszindulatúan eltérítette egy Android-eszköz felületét, és lehetővé tette a fenyegető szereplők számára, hogy figyelemmel kísérjék a használt tevékenységeket, például a képernyőn megjelenő billentyűzet-beviteleket.
Az a tény, hogy az automatizálási keretrendszert használja alapként, azt jelenti, hogy a TgToxic-ot üzemeltető hackerek saját kódot találhatnak ki, amely lehetővé teszi számukra a további rosszindulatú tevékenységeket a feltört eszközökön.
A rosszindulatú program aktív fejlesztés alatt áll, és új funkciókkal és képességekkel bővül, többek között több adatgyűjtési és fiókeltérítési lehetőséggel.
Miért jelentenek komoly biztonsági fenyegetést a mobilbanki trójaiak?
A mobilbanki trójaiak komoly biztonsági fenyegetést jelentenek, mivel arra tervezték őket, hogy érzékeny információkat lopjanak el a mobileszközökről. Ezekkel a rosszindulatú programokkal szöveges üzenetek lehallgathatók, elérhetők a névjegyzékek, és még bankszámlákhoz is hozzáférhetnek. Más rosszindulatú szoftverek, például zsarolóprogramok vagy kémprogramok telepítésére is használhatók. A mobilbanki trójaiak különösen veszélyesek, mert a víruskereső szoftverek gyakran nem észlelik őket, és hosszú ideig az eszközön maradhatnak anélkül, hogy észlelnék őket. Ezenkívül ezeket a rosszindulatú programokat telepítés után nehéz eltávolítani, így jelentős biztonsági kockázatot jelentenek a mobileszközök felhasználói számára.
Mik azok az elpusztító rosszindulatú kampányok?
Az átütő rosszindulatú kampányok a számítógépes támadások egy fajtája, amely szöveges üzenetekkel (SMS) próbálja rávenni a felhasználókat, hogy bizalmas adatokat adjanak meg vagy rosszindulatú szoftvereket töltsenek le. A támadó általában olyan üzenetet küld, amely legitim forrásból, például bankból vagy más pénzintézetből származik, és arra kéri a felhasználót, hogy kattintson egy hivatkozásra, vagy adjon meg személyes adatokat. Ha a felhasználó rákattint a linkre, egy rosszindulatú webhelyre kerülhet, ahol rosszindulatú programokat töltenek le az eszközére, vagy személyes adatokat, például jelszavakat vagy hitelkártyaszámokat kérhetnek tőle. Az átütő támadások magukban foglalhatják az olyan rosszindulatú hivatkozásokat tartalmazó üzenetek küldését is, amelyek kattintáskor megfertőzhetik az eszközöket rosszindulatú programokkal.
