TgToxic mobiele malware
TgToxic is de naam van een nieuwe soort mobiele malware die wordt gecontroleerd door een team van beveiligingsonderzoekers. De dreiging bestaat uiterlijk sinds medio 2022 en richt zich op slachtoffers in Azië.
Het team dat TgToxic in de gaten hield, zag als eerste valse Facebook-berichten met een ingesloten link naar een phishing-pagina. Het lokaas was gericht op Taiwanese Facebook-gebruikers en maakte gebruik van slimme social engineering-trucs.
Ongeveer een maand later werden Taiwanese en Indonesische gebruikers het doelwit van een sextortion-zwendel die tot doel had slachtoffers zich te laten registreren op een kwaadwillende pagina en daarbij hun informatie te stelen. Sms-phishing- of smishing-aanvallen werden begin 2023 gebruikt door vermoedelijk dezelfde dreigingsactor en dezelfde campagne. De slachtoffers waren Thaise burgers.
De oorspronkelijke frauduleuze Facebook-berichten en de nep-datingwebsite die in de tweede golf van de TgToxic-campagne werd gebruikt, gebruikten vergelijkbare domeinen en deelden waarschijnlijk een deel van hun infrastructuur. In 2023 probeerden de hackers achter TgToxic met het nieuwe kunstaas bankgegevens van Thaise gebruikers te stelen.
Table of Contents
Technische aspecten van TgToxic
Vreemd genoeg bleek de TgToxic-malware gebaseerd te zijn op een legitiem "automatiseringstestframework" genaamd Easyclick. De applicatie maakt gebruik van JavaScripts die automatisering zouden moeten bieden, maar bij gebruik werd de interface van een Android-apparaat kwaadwillig gekaapt en konden de bedreigingsactoren gebruikte activiteiten volgen, zoals toetsenbordinvoer op het scherm.
Het feit dat het het automatiseringsframework als basis gebruikt, betekent dat de hackers die TgToxic bedienen hun eigen code kunnen bedenken waarmee ze verdere kwaadaardige activiteiten op de gecompromitteerde apparaten kunnen uitvoeren.
De malware wordt actief ontwikkeld en wordt uitgebreid met nieuwe functies en mogelijkheden, waaronder meer opties voor het verzamelen van gegevens en het kapen van accounts.
Waarom vormen trojans voor mobiel bankieren een grote bedreiging voor de veiligheid?
Trojaanse paarden voor mobiel bankieren vormen een grote bedreiging voor de veiligheid, omdat ze zijn ontworpen om gevoelige informatie van mobiele apparaten te stelen. Deze kwaadaardige programma's kunnen worden gebruikt om sms-berichten te onderscheppen, contactlijsten te openen en zelfs toegang te krijgen tot bankrekeningen. Ze kunnen ook worden gebruikt om andere schadelijke software op het apparaat te installeren, zoals ransomware of spyware. Trojaanse paarden voor mobiel bankieren zijn bijzonder gevaarlijk omdat ze vaak onopgemerkt blijven door antivirussoftware en lange tijd op het apparaat kunnen blijven zonder te worden gedetecteerd. Bovendien kunnen deze schadelijke programma's na installatie moeilijk te verwijderen zijn, waardoor ze een groot beveiligingsrisico vormen voor gebruikers van mobiele apparaten.
Wat zijn kwaadaardige smishing-campagnes?
Smishing-kwaadaardige campagnes zijn een type cyberaanval waarbij tekstberichten (sms) worden gebruikt om gebruikers te misleiden om gevoelige informatie te verstrekken of schadelijke software te downloaden. De aanvaller stuurt doorgaans een bericht dat afkomstig lijkt te zijn van een legitieme bron, zoals een bank of een andere financiële instelling, waarin de gebruiker wordt gevraagd op een link te klikken of persoonlijke informatie te verstrekken. Als de gebruiker op de link klikt, kan hij naar een kwaadaardige website worden geleid waar malware op zijn apparaat wordt gedownload, of kan hem worden gevraagd om persoonlijke informatie zoals wachtwoorden of creditcardnummers. Smishing-aanvallen kunnen ook betrekking hebben op het verzenden van berichten met schadelijke links die apparaten kunnen infecteren met malware wanneer erop wordt geklikt.
