Logiciel malveillant mobile TgToxic

TgToxic est un malware bancaire Android menaçant qui est actif en Asie du Sud-Est depuis juillet 2022. Il utilise diverses techniques d'ingénierie sociale, telles que des leurres de contenu graphiques destinés aux adultes, des tactiques de smishing et de crypto-monnaie pour acquérir des informations financières auprès des utilisateurs. Au départ, les campagnes observées ciblaient en particulier Taïwan, mais la portée de l'opération malveillante s'est depuis étendue à la Thaïlande et à l'Indonésie également. Des détails sur le logiciel malveillant TgToxic Android et sa campagne d'attaque associée ont été révélés au public dans un rapport publié par des chercheurs d'infosec.

Les capacités menaçantes du malware mobile TgToxic

Le logiciel malveillant TgToxic Mobile abuse des services d'accessibilité Android pour accéder et contrôler les systèmes. En utilisant ces services, TgToxic peut effectuer de nombreuses actions invasives sur l'appareil, telles que l'empêcher de dormir, refuser ou approuver des actions, interagir avec le clavier, accéder aux galeries et aux listes d'applications installées, etc. Le programme nuisible récolte également des informations en lisant et en exfiltrant les contacts, les e-mails et les SMS (messages texte) des victimes.

De plus, il peut collecter des codes Google Authenticator 2FA via les services d'accessibilité Android. De plus, TgToxic peut surveiller l'entrée de l'utilisateur (keylogging), prendre des captures d'écran et capturer des photos via la ou les caméras de l'appareil. Son objectif ultime est de détourner des comptes bancaires en ligne, des applications liées à la finance et des portefeuilles de crypto-monnaie, ce qui permet d'effectuer de petites transactions sans l'implication ou la connaissance de l'utilisateur. En s'accordant des autorisations sans intervention de l'utilisateur, TgToxic est capable d'empêcher sa suppression et de désactiver le logiciel de sécurité pour échapper à la détection. Dans l'ensemble, ce programme dangereux constitue une menace importante pour les utilisateurs d'Android et doit être traité en conséquence.

Abuser des cadres légitimes

Les cybercriminels à l'origine du logiciel malveillant TgToxic Android profitent de cadres d'automatisation légitimes comme Easyclick et Autojs pour créer des chevaux de Troie bancaires sophistiqués capables d'exploiter les services d'accessibilité. Malgré le manque de complexité de cette menace particulière, les techniques utilisées rendent difficile la rétro-ingénierie pour l'analyse. En raison de la facilité d'utilisation et des fonctionnalités anti-ingénierie inverse fournies par les frameworks, il est probable que davantage d'acteurs malveillants utiliseront cette méthode à l'avenir. Un tel développement pourrait constituer une menace sérieuse pour les utilisateurs d'Android et leurs appareils. Par conséquent, chacun doit rester vigilant et protéger de manière proactive ses systèmes contre les attaques préjudiciables.