Malware mobile TgToxic
TgToxic è il nome di un nuovo ceppo di malware mobile monitorato da un team di ricercatori di sicurezza. La minaccia esiste al più tardi dalla metà del 2022 e prende di mira le vittime situate in Asia.
Il team che monitora TgToxic ha individuato per la prima volta falsi post di Facebook che contenevano un collegamento incorporato a una pagina di phishing. L'esca era rivolta agli utenti taiwanesi di Facebook e utilizzava intelligenti trucchi di ingegneria sociale.
Circa un mese dopo, gli utenti taiwanesi e indonesiani sono diventati l'obiettivo di una truffa di sextortion che mirava a indurre le vittime a registrarsi su una pagina dannosa e rubare le loro informazioni nel processo. Gli attacchi di phishing o smishing tramite SMS sono stati utilizzati da quello che si ritiene essere lo stesso attore e campagna di minacce all'inizio del 2023. Le vittime erano cittadini thailandesi.
I post fraudolenti originali di Facebook e il falso sito di incontri utilizzato nella seconda ondata della campagna TgToxic utilizzavano domini simili e probabilmente condividevano parte della loro infrastruttura. Nel 2023, le nuove esche utilizzate dagli hacker dietro TgToxic stavano cercando di rubare informazioni bancarie agli utenti tailandesi.
Table of Contents
Aspetti tecnici di TgToxic
Curiosamente, il malware TgToxic si è rivelato basato su un legittimo "quadro di test di automazione" denominato Easyclick. L'applicazione utilizza JavaScript che dovrebbero fornire l'automazione, ma quando viene utilizzato maliziosamente dirotta l'interfaccia di un dispositivo Android e consente agli autori delle minacce di monitorare l'attività utilizzata, come gli input da tastiera su schermo.
Il fatto che utilizzi il framework di automazione come base significa che gli hacker che gestiscono TgToxic possono creare il proprio codice che può consentire loro ulteriori attività dannose sui dispositivi compromessi.
Il malware è in fase di sviluppo attivo e viene ampliato con nuove funzionalità e capacità, tra cui più raccolta di dati e opzioni di dirottamento dell'account.
Perché i trojan del mobile banking rappresentano una grave minaccia per la sicurezza?
I trojan bancari mobili rappresentano una grave minaccia alla sicurezza perché sono progettati per rubare informazioni sensibili dai dispositivi mobili. Questi programmi dannosi possono essere utilizzati per intercettare messaggi di testo, accedere a elenchi di contatti e persino ottenere l'accesso a conti bancari. Possono anche essere utilizzati per installare altri software dannosi sul dispositivo, come ransomware o spyware. I trojan bancari mobili sono particolarmente pericolosi perché spesso non vengono rilevati dal software antivirus e possono rimanere sul dispositivo per lunghi periodi di tempo senza essere rilevati. Inoltre, questi programmi dannosi possono essere difficili da rimuovere una volta installati, il che li rende un grave rischio per la sicurezza degli utenti di dispositivi mobili.
Cosa sono le campagne dannose smishing?
Le campagne dannose di smishing sono un tipo di attacco informatico che utilizza messaggi di testo (SMS) per cercare di indurre gli utenti a fornire informazioni sensibili o scaricare software dannoso. L'aggressore in genere invia un messaggio che sembra provenire da una fonte legittima, come una banca o un altro istituto finanziario, chiedendo all'utente di fare clic su un collegamento o di fornire informazioni personali. Se l'utente fa clic sul collegamento, potrebbe essere indirizzato a un sito Web dannoso in cui viene scaricato malware sul proprio dispositivo oppure potrebbero essere richieste informazioni personali come password o numeri di carta di credito. Gli attacchi di smishing possono anche comportare l'invio di messaggi contenenti collegamenti dannosi che possono infettare i dispositivi con malware quando vengono cliccati.
