TgToxic Mobile Malware
TgToxic é o nome de um novo tipo de malware móvel monitorado por uma equipe de pesquisadores de segurança. A ameaça existe desde meados de 2022, o mais tardar, e tem como alvo vítimas localizadas na Ásia.
A equipe que monitora o TgToxic detectou pela primeira vez postagens falsas no Facebook que continham um link embutido para uma página de phishing. A atração visava usuários taiwaneses do Facebook e usava truques inteligentes de engenharia social.
Cerca de um mês depois, usuários taiwaneses e indonésios se tornaram alvo de um golpe de sextortion que visava fazer com que as vítimas se registrassem em uma página maliciosa e roubassem suas informações no processo. Ataques de phishing ou smishing por SMS foram usados pelo que se acredita ser o mesmo ator e campanha de ameaças no início de 2023. As vítimas eram cidadãos tailandeses.
As postagens fraudulentas originais do Facebook e o falso site de namoro usado na segunda onda da campanha TgToxic usavam domínios semelhantes e provavelmente compartilhavam parte de sua infraestrutura. Em 2023, as novas iscas usadas pelos hackers por trás do TgToxic tentavam roubar informações bancárias de usuários tailandeses.
Índice
Aspectos técnicos do TgToxic
Curiosamente, o malware TgToxic acabou sendo baseado em uma "estrutura de teste de automação" legítima chamada Easyclick. O aplicativo usa JavaScripts que deveriam fornecer automação, mas, quando usados de forma maliciosa, sequestraram a interface de um dispositivo Android e permitiram que os agentes de ameaças monitorassem a atividade usada, como entradas de teclado na tela.
O fato de usar a estrutura de automação como base significa que os hackers que operam o TgToxic podem criar seu próprio código que pode permitir outras atividades maliciosas nos dispositivos comprometidos.
O malware está em desenvolvimento ativo e está sendo expandido com novos recursos e capacidades, incluindo mais coleta de dados e opções de sequestro de contas.
Por que os trojans bancários móveis são uma grande ameaça à segurança?
Os trojans bancários móveis são uma grande ameaça à segurança porque são projetados para roubar informações confidenciais de dispositivos móveis. Esses programas maliciosos podem ser usados para interceptar mensagens de texto, acessar listas de contatos e até obter acesso a contas bancárias. Eles também podem ser usados para instalar outro software malicioso no dispositivo, como ransomware ou spyware. Os trojans bancários móveis são particularmente perigosos porque geralmente não são detectados pelo software antivírus e podem permanecer no dispositivo por longos períodos de tempo sem serem detectados. Além disso, esses programas maliciosos podem ser difíceis de remover depois de instalados, tornando-os um grande risco de segurança para usuários de dispositivos móveis.
O que são campanhas maliciosas smishing?
As campanhas maliciosas de smishing são um tipo de ataque cibernético que usa mensagens de texto (SMS) para tentar induzir os usuários a fornecer informações confidenciais ou baixar software malicioso. O invasor geralmente envia uma mensagem que parece ser de uma fonte legítima, como um banco ou outra instituição financeira, solicitando que o usuário clique em um link ou forneça informações pessoais. Se o usuário clicar no link, ele pode ser levado a um site malicioso onde o malware é baixado em seu dispositivo ou pode ser solicitado a fornecer informações pessoais, como senhas ou números de cartão de crédito. Os ataques de smishing também podem envolver o envio de mensagens contendo links maliciosos que podem infectar dispositivos com malware quando clicados.
