TgToxic mobil skadelig programvare
TgToxic er navnet på en ny stamme av mobil malware overvåket av et team av sikkerhetsforskere. Trusselen har eksistert senest siden midten av 2022 og retter seg mot ofre i Asia.
Teamet som overvåker TgToxic oppdaget først falske Facebook-innlegg som inneholdt en innebygd lenke til en phishing-side. Lokken var rettet mot taiwanske Facebook-brukere og brukte smarte sosiale ingeniørtriks.
Omtrent en måned senere ble taiwanske og indonesiske brukere målet for en sextortion-svindel som hadde som mål å få ofre til å registrere seg på en ondsinnet side og stjele informasjonen deres i prosessen. SMS-phishing eller smishing-angrep ble brukt av det som antas å være den samme trusselaktøren og kampanjen tidlig i 2023. Ofrene var thailandske statsborgere.
De originale falske Facebook-innleggene og det falske datingnettstedet som ble brukt i den andre bølgen av TgToxic-kampanjen brukte lignende domener og delte sannsynligvis noe av infrastrukturen deres. I 2023 prøvde de nye lokkerne som ble brukt av hackerne bak TgToxic å stjele bankinformasjon fra thailandske brukere.
Table of Contents
Tekniske aspekter ved TgToxic
Merkelig nok viste TgToxic malware seg å være basert på et legitimt "automatiseringstestrammeverk" kalt Easyclick. Applikasjonen bruker JavaScript som er ment å gi automatisering, men når den ble brukt, kapret grensesnittet til en Android-enhet på en ondsinnet måte og tillot trusselaktørene å overvåke brukt aktivitet, for eksempel tastaturinndata på skjermen.
Det faktum at den bruker automatiseringsrammeverket som base betyr at hackerne som driver TgToxic kan komme opp med sin egen kode som kan tillate dem ytterligere ondsinnede aktiviteter på de kompromitterte enhetene.
Skadevaren er under aktiv utvikling og utvides med nye funksjoner og muligheter, inkludert flere alternativer for datainnsamling og kontokapring.
Hvorfor er mobilbanktrojanere en stor sikkerhetstrussel?
Mobilbanktrojanere er en stor sikkerhetstrussel fordi de er designet for å stjele sensitiv informasjon fra mobile enheter. Disse ondsinnede programmene kan brukes til å fange opp tekstmeldinger, få tilgang til kontaktlister og til og med få tilgang til bankkontoer. De kan også brukes til å installere annen skadelig programvare på enheten, for eksempel løsepenge eller spyware. Mobilbanktrojanere er spesielt farlige fordi de ofte blir uoppdaget av antivirusprogramvare og kan forbli på enheten i lange perioder uten å bli oppdaget. I tillegg kan disse ondsinnede programmene være vanskelige å fjerne når de er installert, noe som gjør dem til en stor sikkerhetsrisiko for brukere av mobile enheter.
Hva er smishing ondsinnede kampanjer?
Smishing ondsinnede kampanjer er en type cyberangrep som bruker tekstmeldinger (SMS) for å prøve å lure brukere til å oppgi sensitiv informasjon eller laste ned skadelig programvare. Angriperen vil vanligvis sende ut en melding som ser ut til å komme fra en legitim kilde, for eksempel en bank eller annen finansinstitusjon, og ber brukeren klikke på en lenke eller oppgi personlig informasjon. Hvis brukeren klikker på lenken, kan de bli ført til et ondsinnet nettsted der skadelig programvare lastes ned på enheten deres, eller de kan bli bedt om personlig informasjon som passord eller kredittkortnumre. Smishing-angrep kan også innebære å sende meldinger som inneholder ondsinnede lenker som kan infisere enheter med skadelig programvare når de klikkes.
