TgToxic モバイル マルウェア

TgToxic は、2022 年 7 月から東南アジアで活動を開始している脅威的な Android バンキング マルウェアです。これは、ユーザーから金融関連の情報を取得するために、グラフィック アダルト向けコンテンツのルアー、スミッシング、暗号通貨中心の戦術など、さまざまなソーシャル エンジニアリング手法を利用しています。当初は、特に台湾を標的としたキャンペーンが観察されましたが、悪意のある活動の範囲はその後、タイやインドネシアにも拡大しています。 TgToxic Android マルウェアとそれに関連する攻撃キャンペーンの詳細は、infosec の研究者が発表したレポートで明らかになりました。

TgToxic モバイル マルウェアの脅威的な機能

TgToxic Mobile マルウェアは、Android アクセシビリティ サービスを悪用して、システムへのアクセスと制御を取得します。これらのサービスを使用することで、TgToxic は、スリープ状態の停止、アクションの拒否または承認、キーボードとの対話、ギャラリーやインストール済みアプリケーション リストへのアクセスなど、デバイス上で多数の侵襲的なアクションを実行できます。この有害なプログラムは、被害者の連絡先、電子メール、SMS (テキスト メッセージ) を読み取って盗み出すことによっても情報を収集します。

さらに、Android アクセシビリティ サービスを介して Google Authenticator 2FA コードを収集できます。さらに、TgToxic はユーザー入力 (キーロギング) を監視し、スクリーンショットを撮り、デバイスのカメラを介して写真をキャプチャできます。その最終的な目標は、オンライン銀行口座、金融関連アプリケーション、暗号通貨ウォレットをハイジャックして、ユーザーの関与や知識なしに少額の取引を実行できるようにすることです。 TgToxic は、ユーザー入力なしで自分自身に許可を与えることで、その削除を防ぎ、セキュリティ ソフトウェアを無効にして検出を回避することができます。全体として、この安全でないプログラムは Android ユーザーに重大な脅威をもたらすため、それに応じて対処する必要があります。

正当な枠組みの悪用

TgToxic Android マルウェアの背後にいるサイバー犯罪者は、Easyclick や Autojs などの正当な自動化フレームワークを利用して、アクセシビリティ サービスを悪用できる高度なバンキング型トロイの木馬を作成します。この特定の脅威は複雑ではありませんが、使用されている手法により、分析のためのリバース エンジニアリングが困難になっています。フレームワークが提供する使いやすさとアンチリバース エンジニアリング機能により、今後、より多くの攻撃者がこの方法を使用する可能性があります。このような開発は、Android ユーザーとそのデバイスに深刻な脅威をもたらす可能性があります。したがって、誰もが警戒を怠らず、有害な攻撃からシステムを積極的に保護する必要があります。