標題：新出現的TgToxic惡意軟件的自動化框架專門針對東南亞Android用戶

最近趨勢科技的研究人員發現了自2022年7月以來針對中國台灣、泰國和印度尼西亞的Android手機用戶的持續惡意軟件活動，並將其命名為TgToxic。該惡意軟件竊取用戶的憑證和資產，如數字錢包中的加密貨幣，以及銀行和金融應用程序中的資金。

通過分析惡意軟件的自動化功能，研究人員發現了攻擊者濫用了合法的測試框架Easyclick，為點擊和手勢等功能編寫了基於javascript的自動化腳本。研究人員發現攻擊者的目標是通過嵌入多個虛假應用程序的銀行木馬，趨勢科技根據其特殊的加密文件名將其檢測為AndroidOS_TgToxic，該木馬從金融和銀行應用程序(如加密貨幣錢包、手機上官方銀行應用程序的憑據和存款)中竊取受害者的資產。雖然之前針對的是中國台灣的用戶，但在撰寫本文時，研究人員已經觀察到針對泰國和印度尼西亞用戶的欺詐活動和網絡釣魚。建議用戶小心打開來自未知電子郵件和消息發送者的嵌入鏈接，並避免從第三方平台下載應用程序。

發現過程自2022年下半年以來，研究人員一直在監測這個活動，發現它的基礎設施和目標在不斷變化。以下是該活動時間表：

2022年7月：Facebook上出現了欺詐性帖子，通過社交工程在社交媒體平台上嵌入了針對中國台灣省用戶的釣魚鏈接；

2022年8月下旬至10月：色情欺詐還針對中國台灣和印度尼西亞用戶，誘使他們註冊，以便攻擊者竊取他們的證件；

2022年11月至2023年1月：短信釣魚(SMiShing)針對泰國用戶，在此期間使用的一些網絡釣魚網站還顯示，攻擊者通過加密貨幣騙局將其活動進一步擴展到印度尼西亞。

早期活動：通過Facebook進行欺詐2022年7月，研究人員發現兩個可能被黑客入侵的Facebook賬戶在一些台灣社區團體上發布了詐騙信息，聲稱用戶可以獲得颶風、洪水和新冠疫情的救助補貼。這些帖子告訴用戶可以在download.tw1988[.]link中註冊申請，而這實際上是一個釣魚網站。不知情的用戶可能會成為受害者，因為該鏈接偽裝成政府官方網站https://1988.taiwan.gov.tw/，該官方網站用於向困難人群提供補貼。

Facebook上發布的詐騙帖子示例，文字翻譯為“夏季將發放28000項福利，現在輸入https[:]//st7[.]fun/20就可以收到你的勞工補貼”。該應用程序還顯示了潛在受害者就業類別的選項：“農民和漁民的生活津貼”、“無固定雇主的自營職業工人和勞動生活津貼”，以及“旅遊巴士、出租車司機、導遊、領隊和其他補貼”。

色情詐騙和加密貨幣通過追踪TgToxic使用的網絡基礎設施，研究人員隨後發現了中國台灣和印度尼西亞色情和加密貨幣詐騙的幕後黑手。這些惡意應用程序也可以通過down[.]tw1988[.]link從同一網站下載，並偽裝成約會、消息、生活方式或加密貨幣相關應用程序，誘騙用戶安裝並啟用其權限。

虛假應用程序在下載後立即啟動註冊頁面以誘導用戶，惡意軟件TgToxic開始在後台運行

在印度尼西亞，虛假應用程序誘導潛在受害者進入色情勒索和加密貨幣詐騙釣魚網站

針對泰國的網絡釣魚活動當研究人員繼續監控TgToxic惡意軟件及其網絡基礎設施時，他們發現，在2022年底至2023年1月初的幾週內，該活動背後的攻擊者開始以泰國用戶為目標，並觀察到類似的色情和網絡釣魚誘餌針對中國台灣用戶，該組織開始添加惡意代碼，以竊取銀行應用程序中的憑據。研究人員還發現，這兩個攻擊已經引起了當地媒體的關注，並在Facebook上受到了大眾社區的報導。

泰國當地流行的社交媒體賬戶討論了使用流行聊天和約會應用程序的假冒版本的網絡釣魚計劃(左)，以及與一名受害者的對話，該受害者也證實了惡意軟件是通過smishing發送的(右)

網絡釣魚、色情和加密貨幣騙局與TgToxic惡意軟件的最新部署樣本都有關係，因為它們都是從同一個網站下載的，下載鏈接為down[.]tw1988[.]link。通過觀察命令和控制（CC）服務器之間的通信，這些應用程序和惡意軟件的CC從api[.]tw1988[.]link更改為test[.]ja7[.]site，後來更改為us[.]ja7[.]site。

TgToxic的技術分析研究人員分析了惡意軟件TgToxic是基於一個名為Eacyclick的合法自動化測試框架開發的，該框架支持通過JavaScript編寫自動化腳本。該腳本可用於自動劫持Android設備的用戶界面（UI），以自動執行諸如監視用戶輸入、執行點擊和手勢等功能。

使用上述框架，TgToxic可以開發自己的自動化腳本，通過竊取受害者放置用戶名和密碼的用戶憑據來劫持加密貨幣錢包和銀行應用程序。一旦獲得了憑證，攻擊者就可以在不需要用戶批准或確認的情況下，使用官方應用程序進行小額交易。與其他銀行惡意軟件一樣，TgToxic還可以通過短信和安裝的應用程序竊取用戶的個人信息，這些信息可以用來通過進一步掃描設備是否存儲了攻擊者感興趣的應用程序來選擇目標受害者。

目前，TgToxic仍在快速發展，並繼續添加新功能，複製更多應用程序以竊取憑據並適應不同的應用程序UI，並從受害者那裡收集更多信息。在這次分析中，研究人員選取了針對泰國移動用戶的最新樣本進行分析。

代碼混淆和有效負載加密TgToxic惡意軟件使用兩種方法來逃避檢測和分析，研究人員將其分為兩部分：

代碼混淆：TgToxic混淆了類名、方法名和字段名，這使得一些分析師更難進行逆向工程。

有效負載加密：TgToxic將Easylick腳本放在一個名為“tg.iapk”的資產文件中，該文件是一個加密的Zip文件，並將在應用程序啟動時動態讀取其中的內容。該惡意軟件實現了一種無文件的方式來解密和加載負載，並在解壓縮後添加了一個額外的邏輯。

APK結構和有效負載

解密有效負載並濫用輔助功能服務劫持設備UI

tg.iapk加密過程

正如McAiden的研究人員所指出的，tg.iapk是一個加密的.zip文件。通過靜態分析，研究人員發現解壓密碼經過特殊編碼並存儲在.zip註釋部分，該部分通常用於記錄.zip描述。此部分的內容不會影響壓縮後的內容。要獲得.zip文件的密碼，註釋部分的內容將按照代碼中指定的方式進行解碼。

Zip密碼解碼功能

解壓縮後，研究人員發現所有文件都是二進製文件，所有文件的前四個字節都是“0x00092383”，這是專門加密的文件。通過反向分析，研究人員找到了解密函數。為了隱藏解密細節，使用反射調用密鑰類和密鑰方法，並加密相關的符號名稱。

特殊加密文件

加密文件解密功能

通過分析解密函數，研究人員得到了加密文件的格式。加密文件對密碼進行了編碼，並將其保存在文件的開頭（緊跟魔術數字），同時將加密數據保存在文件末尾。密碼的解碼方式與zip密碼的解碼方法相同。

特殊加密文件格式

運行時引擎中運行的預編譯腳本自動化腳本被預編譯為Java，並使用Rhino的運行時，Rhino是一個在Java中運行JavaScript的開源引擎。調用函數中的每個開關分支都是一個JavaScript函數，研究人員將解釋代碼如何使用來自惡意軟件的簡單函數運行。

從一個Javascript函數編譯的Java字節碼

此函數用於收集設備信息並發送到CC服務器。它首先遍歷一個預定義的變量“walletListAry”，其中包含攻擊者感興趣的加密貨幣錢包的包名列表。然後，惡意軟件調用“isAppExist”來檢查應用程序是否在系統中。如果確認，包名稱將被推送到數組中。

然後，惡意軟件以同樣的方式檢查電子郵件應用程序，並創建一個.json對象，其中包含它收集的信息。 “apps”字段包含已安裝的加密貨幣錢包的包名稱，“mails”字段包含安裝的電子郵件應用的包名稱。最後，它調用“JSON.stringify”將.JSON對象序列化為字符串，並調用“emitEnc”通過WebSocket將信息發送到CC服務器。

CC通信和數據洩露惡意軟件使用WebSocket作為腳本執行的CC通道。它將調用“StartWs”連接到WebSocket服務器，然後設置“new_msg”事件偵聽器以接收和解析CC命令。完整的CC命令列表如下所示：

另一個值得注意的細節是，TgToxic將根據受感染設備的地區連接到不同的CC服務器。雖然研究人員仍在繼續跟踪，但除了目前確定的三個國家之外，還沒有在其他地區或國家發現TgToxic活動，但他們認為，這次攻擊背後的攻擊者正試圖根據這些不同服務器的可用性將其活動擴展到其他國家。

根據設備區域獲取CC主機前綴

數據通過CC通道洩露。以短信竊取為例，惡意軟件首先調用“getSmsInPhone”從郵件收件箱中提取所有短信，然後通過WebSocket CC通道將竊取的數據上傳到服務器。

提取所有文本消息

自動授予權限和防止卸載TgToxic可以劫持系統應用程序自動授予自己權限，並在受害者試圖卸載惡意軟件時阻止卸載。以下是惡意軟件試圖劫持的系統應用程序及其相應用途的列表：

惡意軟件試圖控制的系統應用程序列表

控制自動轉賬的金融應用程序TgToxic實施自動轉賬服務（ATS），用戶不知情的情況下向攻擊者轉賬。該惡意軟件首先秘密竊取密碼並解鎖手勢，當它檢測到用戶擁有錢包應用程序時，惡意軟件將檢查特定的活動，並通過密鑰日誌記錄用戶是否輸入密碼。如果用戶用手勢解鎖設備，它還可以截屏。

一旦收到來自CC服務器的“walletSend”命令，惡意軟件就會覆蓋全黑屏幕，以防止受害者意識到惡意活動和傳輸。然後，它打開錢包應用程序並收集鏈類型和余額等詳細信息。然後，TgToxic將通過無障礙服務模擬用戶點擊所有鏈類型的特定收件人：

1.檢查鏈類型是否為“usdt”，並輸入錢包詳細信息；

2.點擊轉移按鈕；

3.輸入接收者地址；

4.輸入轉賬資金；

5.進入轉賬詳情頁面；

6.輸入密碼；

7.點擊“確認”按鈕；

檢查鏈類型並輸入錢包詳細信息

輸入被盜的地址信息和收件人的地址

輸入錢包密碼並確認交易

目標應用程序以下是惡意軟件從中竊取受害者信息的應用程序列表，列表來自針對泰國的最新樣本：

Android設備被攻擊後，惡意軟件從中獲取信息的應用程序列表：

總結儘管部署時間不同，但研究人員發現針對中國台灣、印度尼西亞和泰國的社交媒體網絡釣魚活動和網絡基礎設施類似。當受害者從攻擊者提供的網站下載虛假應用程序時，或受害者試圖通過WhatsApp或Viber等消息應用程序直接向攻擊者發送消息時，攻擊者會欺騙用戶註冊、安裝惡意軟件並啟用其所需的權限。一旦獲得授權，手機就會被攻擊者自動控制，設備中的合法應用程序及其資產將面臨風險。

從分析來看，惡意軟件本身雖不復雜，但很有趣。濫用Easylick和Autojs等合法的自動化框架可以更容易地開發複雜的惡意軟件，特別是對於可以濫用Accessibility服務的Android銀行木馬。框架的複雜性也使逆向工程分析變得困難。由於框架的便利性和反逆向工程設置，未來很有可能有更多的攻擊者可以利用並使用這種方法。

通過對攻擊者的調查，研究人員認為負責這個活動的組織或個人之前並未出現過，但對該地區的目標比較了解，比如繁體和簡體中文用法。研究人員觀察到的一個有趣的細節是，2022年8月，台灣有很多濫用津貼援助主題的騙局。

雖然研究人員也對受害者的部署和企圖有深入了解，但關於當地受害者的實際人數的信息很少。

緩解措施避免安裝來自未知來源和平台的應用程序。不要點擊直接嵌入短信或電子郵件中的應用程序、安裝程序、網站，尤其是來自未知發件人的應用程序；

不要啟用敏感的權限，例如從未知應用程序啟用或下載的輔助功能服務；

還有就是要關註一下攻擊跡象，比如雖然設備未使用，但電池電量消耗很大，這就是危險信號。