TgToxic Mobile Malware
TgToxic är namnet på en ny stam av mobil skadlig programvara som övervakas av ett team av säkerhetsforskare. Hotet har funnits senast i mitten av 2022 och riktar sig mot offer i Asien.
Teamet som övervakar TgToxic upptäckte först falska Facebook-inlägg som innehöll en inbäddad länk till en nätfiskesida. Locket riktade sig till taiwanesiska Facebook-användare och använde smarta sociala ingenjörsknep.
Ungefär en månad senare blev taiwanesiska och indonesiska användare måltavla för en sextortionsbedrägeri som syftade till att få offer att registrera sig på en skadlig sida och stjäla deras information i processen. SMS-nätfiske eller smishing-attacker användes av vad som tros vara samma hotaktör och kampanj i början av 2023. Offren var thailändska medborgare.
De ursprungliga falska Facebook-inläggen och den falska dejtingwebbplatsen som användes i den andra vågen av TgToxic-kampanjen använde liknande domäner och delade troligen en del av deras infrastruktur. År 2023 försökte de nya beten som användes av hackarna bakom TgToxic stjäla bankinformation från thailändska användare.
Table of Contents
Tekniska aspekter av TgToxic
Märkligt nog visade sig skadlig programvara TgToxic vara baserad på ett legitimt "automationstestramverk" som heter Easyclick. Applikationen använder JavaScripts som är tänkta att ge automatisering, men när den användes kapade den illvilligt en Android-enhets gränssnitt och tillät hotaktörerna att övervaka använd aktivitet, såsom tangentbordsingångar på skärmen.
Det faktum att den använder automationsramverket som bas innebär att hackare som använder TgToxic kan komma med sin egen kod som kan tillåta dem ytterligare skadliga aktiviteter på de komprometterade enheterna.
Skadlig programvara är under aktiv utveckling och utökas med nya funktioner och möjligheter, inklusive fler datainsamlings- och kontokapningsalternativ.
Varför är trojaner för mobilbanker ett stort säkerhetshot?
Mobilbankstrojaner är ett stort säkerhetshot eftersom de är designade för att stjäla känslig information från mobila enheter. Dessa skadliga program kan användas för att fånga upp textmeddelanden, komma åt kontaktlistor och till och med få tillgång till bankkonton. De kan också användas för att installera annan skadlig programvara på enheten, såsom ransomware eller spionprogram. Mobilbankstrojaner är särskilt farliga eftersom de ofta inte upptäcks av antivirusprogram och kan ligga kvar på enheten under långa perioder utan att upptäckas. Dessutom kan dessa skadliga program vara svåra att ta bort när de väl har installerats, vilket gör dem till en stor säkerhetsrisk för användare av mobila enheter.
Vad är smishing skadliga kampanjer?
Smishing skadliga kampanjer är en typ av cyberattack som använder textmeddelanden (SMS) för att försöka lura användare att tillhandahålla känslig information eller ladda ner skadlig programvara. Angriparen kommer vanligtvis att skicka ut ett meddelande som verkar komma från en legitim källa, såsom en bank eller annan finansiell institution, och ber användaren att klicka på en länk eller lämna personlig information. Om användaren klickar på länken kan de föras till en skadlig webbplats där skadlig programvara laddas ner till deras enhet, eller så kan de bli ombedd att ange personlig information som lösenord eller kreditkortsnummer. Smishing-attacker kan också innebära att skicka meddelanden som innehåller skadliga länkar som kan infektera enheter med skadlig programvara när de klickas.
