Mobilne złośliwe oprogramowanie TgToxic
TgToxic to nazwa nowego szczepu mobilnego złośliwego oprogramowania monitorowanego przez zespół badaczy bezpieczeństwa. Zagrożenie istnieje najpóźniej od połowy 2022 roku i jest skierowane do ofiar znajdujących się w Azji.
Zespół monitorujący TgToxic jako pierwszy wykrył fałszywe posty na Facebooku, które zawierały osadzony link do strony phishingowej. Przynęta była skierowana do tajwańskich użytkowników Facebooka i wykorzystywała sprytne sztuczki socjotechniczne.
Mniej więcej miesiąc później użytkownicy z Tajwanu i Indonezji stali się celem oszustwa typu sextortion, którego celem było skłonienie ofiar do zarejestrowania się na złośliwej stronie i kradzieży ich informacji. Na początku 2023 r. ataki phishingowe lub smishingowe były wykorzystywane przez tego samego cyberprzestępcę i tę samą kampanię. Ofiarami byli obywatele Tajlandii.
Oryginalne oszukańcze posty na Facebooku i fałszywy serwis randkowy wykorzystywane w drugiej fali kampanii TgToxic korzystały z podobnych domen i prawdopodobnie współdzieliły część ich infrastruktury. W 2023 roku nowe przynęty wykorzystywane przez hakerów stojących za TgToxic próbowały wykraść informacje bankowe od użytkowników z Tajlandii.
Table of Contents
Aspekty techniczne TgToxic
Co ciekawe, okazało się, że szkodliwe oprogramowanie TgToxic jest oparte na legalnym „ramie testów automatycznych” o nazwie Easyclick. Aplikacja wykorzystuje skrypty JavaScript, które mają zapewniać automatyzację, ale gdy są używane, złośliwie przejmują interfejs urządzenia z systemem Android i umożliwiają cyberprzestępcom monitorowanie używanej aktywności, takiej jak wprowadzanie danych z klawiatury ekranowej.
Fakt, że wykorzystuje platformę automatyzacji jako podstawę, oznacza, że hakerzy obsługujący TgToxic mogą wymyślić własny kod, który może umożliwić im dalsze złośliwe działania na zaatakowanych urządzeniach.
Szkodliwe oprogramowanie jest aktywnie rozwijane i rozszerzane o nowe funkcje i możliwości, w tym więcej opcji gromadzenia danych i przejmowania kont.
Dlaczego mobilne trojany bankowe stanowią poważne zagrożenie dla bezpieczeństwa?
Mobilne trojany bankowe stanowią poważne zagrożenie dla bezpieczeństwa, ponieważ ich celem jest kradzież poufnych informacji z urządzeń mobilnych. Te szkodliwe programy mogą być wykorzystywane do przechwytywania wiadomości tekstowych, uzyskiwania dostępu do list kontaktów, a nawet uzyskiwania dostępu do kont bankowych. Mogą być również wykorzystywane do instalowania na urządzeniu innego złośliwego oprogramowania, takiego jak ransomware lub spyware. Trojany bankowości mobilnej są szczególnie niebezpieczne, ponieważ często pozostają niewykryte przez oprogramowanie antywirusowe i mogą pozostawać na urządzeniu przez długi czas bez wykrycia. Ponadto te złośliwe programy mogą być trudne do usunięcia po zainstalowaniu, co czyni je poważnym zagrożeniem bezpieczeństwa dla użytkowników urządzeń mobilnych.
Czym są porażające złośliwe kampanie?
Szkodliwe kampanie typu Smishing to rodzaj cyberataku wykorzystującego wiadomości tekstowe (SMS) w celu nakłonienia użytkowników do podania poufnych informacji lub pobrania złośliwego oprogramowania. Osoba atakująca zwykle wysyła wiadomość, która wydaje się pochodzić z legalnego źródła, takiego jak bank lub inna instytucja finansowa, prosząc użytkownika o kliknięcie łącza lub podanie danych osobowych. Jeśli użytkownik kliknie łącze, może zostać przekierowany na złośliwą stronę internetową, z której złośliwe oprogramowanie zostanie pobrane na jego urządzenie, lub może zostać poproszony o podanie danych osobowych, takich jak hasła lub numery kart kredytowych. Ataki Smishing mogą również obejmować wysyłanie wiadomości zawierających złośliwe łącza, które po kliknięciu mogą zainfekować urządzenia złośliwym oprogramowaniem.
