Malware móvil TgToxic

TgToxic es un malware bancario para Android amenazante que ha estado activo en el sudeste asiático desde julio de 2022. Utiliza varias técnicas de ingeniería social, como señuelos de contenido gráfico orientado a adultos, smishing y tácticas centradas en criptomonedas para adquirir información financiera de los usuarios. Inicialmente, las campañas observadas se dirigieron a Taiwán en particular, pero el alcance de la operación malintencionada se ha expandido desde entonces también a Tailandia e Indonesia. Los detalles sobre el malware de Android TgToxic y su campaña de ataque asociada se revelaron al público en un informe publicado por investigadores de infosec.

Las capacidades amenazantes del malware móvil TgToxic

El malware TgToxic Mobile abusa de los Servicios de accesibilidad de Android para obtener acceso y control sobre los sistemas. Al usar estos servicios, TgToxic puede realizar numerosas acciones invasivas en el dispositivo, como evitar que se duerma, negar o aprobar acciones, interactuar con el teclado, acceder a galerías y listas de aplicaciones instaladas y más. El programa dañino también recolecta información al leer y filtrar los contactos, correos electrónicos y SMS (mensajes de texto) de las víctimas.

Además, puede recopilar códigos 2FA de Google Authenticator a través de los Servicios de accesibilidad de Android. Además, TgToxic puede monitorear la entrada del usuario (registro de teclas), tomar capturas de pantalla y capturar fotos a través de la(s) cámara(s) del dispositivo. Su objetivo final es secuestrar cuentas bancarias en línea, aplicaciones relacionadas con finanzas y billeteras de criptomonedas, lo que hace posible realizar pequeñas transacciones sin la participación o el conocimiento del usuario. Al otorgarse permisos sin intervención del usuario, TgToxic puede evitar su eliminación y desactivar el software de seguridad para evadir la detección. En general, este programa inseguro representa una amenaza significativa para los usuarios de Android y debe abordarse en consecuencia.

Abuso de marcos legítimos

Los ciberdelincuentes detrás del malware TgToxic Android aprovechan marcos de automatización legítimos como Easyclick y Autojs para crear troyanos bancarios sofisticados que pueden explotar los servicios de accesibilidad. A pesar de la falta de complejidad de esta amenaza en particular, las técnicas utilizadas dificultan la ingeniería inversa para el análisis. Debido a la facilidad de uso y las características de ingeniería antirreversa proporcionadas por los marcos, es probable que más actores de amenazas utilicen este método en el futuro. Tal desarrollo podría representar una seria amenaza para los usuarios de Android y sus dispositivos. Por lo tanto, todos deben permanecer alerta y proteger de manera proactiva sus sistemas contra ataques perjudiciales.