TGTOXIC là một Trojan ngân hàng Android được Trend Micro phát hiện vào tháng 7/2022. Phần mềm độc hại này được thiết kế để đánh cắp thông tin đăng nhập, ví kỹ thuật số, tiền điện tử và tiền trong các ứng dụng ngân hàng của người dùng. Ban đầu, phần mềm này nhắm mục tiêu vào người dùng di động ở Đông Nam Á thông qua các chiến dịch kỹ thuật xã hội, trang web giả mạo, mạng xã hội… hoặc dưới vỏ bọc của các ứng dụng hẹn hò, nhắn tin, tài chính.
Mới đây, các nhà nghiên cứu bảo mật tại Intel 471 đã phát hiện biến thể mới của phần mềm độc hại TGTOXIC. Phiên bản này không chỉ tinh vi hơn mà còn mở rộng mục tiêu đến người dùng tại châu Âu, châu Mỹ Latinh. Phiên bản mới nhất của TGTOXIC sử dụng một phương thức tấn công đơn giản nhưng hiệu quả, gửi cho nạn nhân một tin nhắn văn bản SMS duy nhất có chứa liên kết độc hại.
Khi người dùng nhấp vào liên kết này, phần mềm độc hại sẽ được tải xuống thiết bị, cho phép kẻ tấn công đánh cắp thông tin xác thực và chiếm quyền điều khiển thiết bị. Điều này đồng nghĩa với việc thông tin cá nhân, mật khẩu và dữ liệu nhạy cảm của người dùng sẽ rơi vào tay kẻ tấn công.
Các nhà nghiên cứu nhấn mạnh, những kẻ phát triển TGTOXIC luôn chủ động theo dõi thông tin nguồn mở và điều chỉnh chiến lược kịp thời, giúp phần mềm độc hại có thể vượt qua các biện pháp bảo vệ mới.
Phiên bản cập nhật của TGTOXIC không chỉ mở rộng phạm vi địa lý mà còn được tối ưu để qua mặt các công cụ bảo mật hiện đại. Sự kết hợp giữa khả năng ẩn danh và tốc độ lây nhiễm khiến nó trở thành mối đe dọa khó phát hiện.
Trước đây, phần mềm độc hại này chủ yếu nhắm vào các ứng dụng ngân hàng hoặc mạng xã hội tại Đông Nam Á, nhưng hiện tại nó đã sẵn sàng tấn công bất kỳ thiết bị Android nào trên toàn cầu.
Để tránh bị phát hiện, TGTOXIC đã được cập nhật các kỹ thuật chống giả lập và phân tích. Mã độc này sử dụng các phương pháp xác minh hệ thống phức tạp để xác định môi trường ảo hóa, từ đó ngăn chặn việc phân tích tự động. Ngoài ra, TGTOXIC còn thay đổi cơ chế liên lạc với máy chủ điều khiển bằng cách sử dụng thuật toán tạo tên miền (DGA), giúp mã độc duy trì kết nối ngay cả khi một số tên miền bị chặn.
Trước mối nguy cơ này, các nhà nghiên cứu Intel 471 khuyến cáo người dùng không nên cài đặt ứng dụng từ những nguồn không xác định, đặc biệt là những ứng dụng mod, bẻ khóa… Bên cạnh đó, người dùng nên tuyệt đối không nhấp vào các liên kết trong tin nhắn văn bản SMS, vì đây là một trong những cách phổ biến nhất mà phần mềm độc hại lây lan.
Với người dùng doanh nghiệp, cần triển khai phần mềm quản lý thiết bị di động (MDM) để tăng cường bảo mật. Ngoài ra, quản trị viên cũng nên cài đặt các ứng dụng bảo vệ để giám sát lưu lượng truy cập, và hãy luôn cảnh giác với các ứng dụng đòi hỏi quyền truy cập bất thường. |