Comment supprimer le maliciel TgToxic de votre appareil Android ?
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de maliciel est TgToxic ?
TgToxic est le nom d'un maliciel bancaire Android. Il s'agit d'un programme malveillant qui cherche à acquérir des informations financières.
Ce maliciel a été actif en Asie du Sud-Est dès juillet 2022. Les campagnes initialement observées ciblaient les utilisateurs taïwanais et se sont ensuite étendues à la Thaïlande et à l'Indonésie. Diverses techniques d'ingénierie sociale ont été mises en œuvre dans la prolifération de TgToxic, y compris (mais sans s'y limiter) les leurres de contenu graphiques destinés aux adultes, le smishing et les escroqueries centrées sur la crypto-monnaie.
Présentation du maliciel TgToxic
Comme de nombreux programmes malveillants ciblant Android, TgToxic abuse des services d'accessibilité Android pour accéder et contrôler les systèmes. Ces services sont destinés à aider les utilisateurs qui ont besoin d'une aide supplémentaire pour interagir avec leurs appareils. Les services d'accessibilité sont capables de lire l'écran de l'appareil, de simuler l'écran tactile, de générer des entrées au clavier, etc. - par extension, le maliciel TgToxic acquiert également la capacité d'effectuer ces actions.
TgToxic peut obtenir les autorisations nécessaires en les demandant lorsqu'il est installé en tant qu'application d'apparence anodine, et il peut augmenter ses privilèges en s'accordant les autorisations sans intervention de l'utilisateur. Le programme malveillant peut empêcher sa suppression et il désactive le logiciel de sécurité afin d'échapper à la détection.
En utilisant les services d'accessibilité Android et d'autres autorisations, TgToxic peut manipuler l'appareil de diverses manières, par exemple, l'empêcher de dormir/se mettre en veille, apprendre le schéma de verrouillage/code PIN de l'appareil et le verrouiller/déverrouiller, refuser ou approuver des actions, interagir avec le clavier, accéder aux gallerys/albums (lire les noms de dossiers/fichiers et les vignettes), parcourir les listes d'applications installées, etc.
Le maliciel surveille également les entrées de l'utilisateur, c'est-à-dire les clics de l'utilisateur et le texte saisi (keylogging). De plus, TgToxic peut faire des captures d'écran et prendre des photos en utilisant la ou les caméras de l'appareil.
Ce programme récolte des informations en lisant et en exfiltrant les contacts, les courriels et les SMS (messages texte) des victimes. Par conséquent, le maliciel peut obtenir des codes 2FA/MFA (Two/Multi-Factor Authentication) envoyés par SMS ou courriel. Étant donné que l'objectif de TgToxic est de détourner des comptes bancaires en ligne, des applications liées à la finance et des portefeuilles de crypto-monnaie, la capacité d'obtenir des 2FA/MFA est cruciale. Ce maliciel vole également les codes Google Authenticator 2FA via les services d'accessibilité Android.
En conclusion, en détournant des applications légitimes et en volant des informations d'identification, TgToxic peut effectuer de petites transactions sans implication ni connaissance de l'utilisateur.
Gardez à l'esprit que puisque les développeurs de maliciels améliorent souvent leurs logiciels, il est probable que les futures versions de TgToxic auront des capacités supplémentaires/différentes.
Pour résumer, la présence de logiciels comme TgToxic sur les appareils peut entraîner de graves problèmes de confidentialité, des pertes financières et le vol d'identité. Si vous pensez que votre appareil Android est infecté par TgToxic (ou un autre maliciel), nous vous recommandons fortement de le supprimer sans délai.
Nom | Virus TgToxic |
Type de menace | Maliciel Android, application malveillante, application indésirable. |
Noms de détection | Avast-Mobile (APK:Repmaliciel [Trj]), ESET-NOD32 (Détections multiples), Fortinet (Riskware/PackagingUntrustworthyJiagu!An), GData (Trojan.Linux.Generic.291963), Kaspersky (UDS:Trojan-Spy.AndroidOS. FakeApp.p), Liste complète (VirusTotal) |
Symptômes | L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement. |
Modes de diffusion | Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, applications trompeuses, sites Web frauduleux. |
Dommage | Informations personnelles volées (messages privés, identifiants/mots de passe, etc.), diminution des performances de l'appareil, batterie s'épuisant rapidement, vitesse Internet réduite, énormes pertes de données, pertes monétaires, identité volée (des applications malveillantes peuvent abuser des applications de communication). |
Suppression des maliciels (Android) | Pour éliminer les infections par des maliciels, nos chercheurs en sécurité recommandent d'analyser votre appareil Android avec un logiciel anti-maliciel légitime. Nous recommandons Avast, Bitdefender, ESET ou Malwarebytes. |
Exemples de maliciels bancaires Android
Nous avons analysé des dizaines de programmes malveillants ciblant les appareils Android ; Hook, GodFather, BrasDex et AxBanker ne sont que quelques exemples de maliciels bancaires spécifiques à Android.
Généralement, les maliciels peuvent cibler une grande variété d'informations et/ou avoir d'autres capacités. Cependant, quelle que soit la façon dont les maliciels fonctionnent, leur présence sur un système met en danger l'intégrité de l'appareil et la sécurité des utilisateurs. Par conséquent, il est primordial d'éliminer toutes les menaces dès leur détection.
Comment TgToxic s'est-il infiltré dans mon appareil ?
Comme mentionné précédemment, TgToxic est distribué sous le couvert de diverses applications populaires et légitimes ; les déguisements courants incluent ceux liés au contenu sexuellement explicite, aux rencontres entre adultes, au style de vie, à la crypto-monnaie et à la communication (messagers).
Ce maliciel s'est propagé activement depuis au moins l'été 2022. La communauté des chercheurs en cybersécurité a découvert une campagne pour la première fois en juillet 2022 ; puis, deux comptes Facebook faisaient la promotion d'un site Web malveillant sur des groupes communautaires taïwanais.
La page Web d'hameçonnage était déguisée en site Web officiel du gouvernement concernant l'aide aux citoyens taïwanais dans le besoin. La fausse page demandait l'enregistrement des demandes de secours pour les victimes de catastrophes naturelles et du COVID-19. Une fausse application répertorie divers programmes de secours pour les agriculteurs, les pêcheurs, les travailleurs des transports, les guides touristiques, les travailleurs indépendants et d'autres citoyens éligibles.
À la fin de l'été, au début de l'automne, des escroqueries par hameçonnage ciblant les utilisateurs taïwanais et indonésiens étaient apparues. Ces campagnes TgToxic utilisaient divers déguisements d'applications et de sites Web.
En janvier 2023, une autre campagne a été découverte ; celui-ci utilisait la même variété de leurres mais ciblait plutôt les utilisateurs thaïlandais. La distribution via Facebook et le smishing (SMS d'hameçonnage) sont restés populaires.
Il est pertinent de mentionner que les maliciels se propagent à l'aide d'un large éventail de techniques, et il n'est pas improbable que ce soit le cas avec TgToxic. En règle générale, les cybercriminels déguisent ou regroupent les maliciels avec des logiciels/médias ordinaires.
Les méthodes de prolifération les plus largement utilisées incluent : les pièces jointes et les liens malveillants dans les spams (par exemple, les SMS, les courriels, les DM/PM, etc.), les téléchargements intempestifs (furtifs/trompeurs), les canaux de téléchargement douteux (par exemple, les logiciels gratuits et tiers), les sites Web tiers, les réseaux de partage Peer-to-Peer, etc.), les outils d'activation de programmes illégaux ("cracking") et logiciels piratés, les fausses mises à jour, les publicités malveillantes et les escroqueries en ligne.
Comment éviter l'installation de maliciels ?
Nous vous recommandons fortement de rechercher des logiciels en lisant les termes et les avis d'experts/utilisateurs, en vérifiant les autorisations requises, en vérifiant la légitimité du développeur, etc. Il est tout aussi important de télécharger uniquement à partir de sources officielles et dignes de confiance. De plus, tous les programmes doivent être activés et mis à jour à l'aide de fonctions/outils légitimes.
Une autre recommandation est d'être prudent lors de la navigation car le contenu en ligne frauduleux et malveillant semble généralement ordinaire et inoffensif.
La même vigilance doit être étendue aux courriels entrants, DM/PM, SMS et autres messages. Les pièces jointes ou les liens trouvés dans les courriers suspects/non pertinents ne doivent pas être ouverts, car ils peuvent être infectieux.
Nous devons souligner l'importance d'avoir un antivirus de bonne réputation installé et tenu à jour. Un logiciel de sécurité doit être utilisé pour exécuter des analyses régulières du système et pour supprimer les menaces et les problèmes détectés.
Apparence de fausses applications et de leurs sites Web utilisés pour distribuer le maliciel TgToxic (source de l'image – Trend Micro ) :
Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation du navigateur Web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
- Comment réinitialiser le navigateur Web Chrome ?
- Comment supprimer l'historique de navigation du navigateur Web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "Mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimez l'historique de navigation du navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Cliquez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la plage de temps et les types de données que vous souhaitez supprimer et cliquez sur "Effacer les données".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et cliquez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et cliquez dessus.
Trouvez les sites Web qui fournissent des notifications de navigateur, cliquez dessus et cliquez sur "Effacer et réinitialiser". Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, une fois que vous visitez à nouveau le même site, il peut demander à nouveau une autorisation.Vous pouvez choisir de donner ou non ces autorisations (si vous choisissez de refuser, le site Web ira dans la section "Bloqué" et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Supprimez l'historique de navigation du navigateur Web Firefox :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et cliquez dessus. Sélectionnez les types de données que vous souhaitez supprimer et cliquez sur "EFFACER LES DONNÉES".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Firefox :
Visitez le site Web qui fournit les notifications du navigateur, cliquez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un "cadenas") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre pop-up ouverte, optez pour l'option "Notifications" et cliquez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "EFFACER LES DONNÉES" et confirmez l'action en appuyant sur "SUPPRIMER". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et cliquez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, vous êtes invité avec un message d'erreur), vous devez essayer d'utiliser le "Mode sans échec".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "Mode sans échec" :
Le "Mode sans échec" du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Cliquez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que vous voyiez l'écran "Power off". Cliquez sur l'icône "Éteindre" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie de diverses applications :
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "Maintenance de l'appareil" et cliquez dessus.
Cliquez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation massive des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté au réseau sans fil. Pour cette raison, vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui consomme beaucoup de données alors que vous ne l'utilisez jamais, alors nous vous conseillons vivement de la désinstaller au plus vite.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient continuellement divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être abusés par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Cliquez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement" - cela permettra au système de vous avertir lorsqu'une mise à jour est publiée et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
Effectuer une "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état initial.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "À propos du téléphone" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et cliquez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - restaurer tous les paramètres système par défaut ;
"Réinitialiser les paramètres réseau" - restaurer tous les paramètres liés au réseau par défaut ;
"Réinitialisation des données d'usine" - réinitialisez l'ensemble du système et supprimez complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications disposant de privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut sérieusement endommager le système. Pour garder l'appareil aussi sûr que possible, vous devez toujours vérifier quelles applications ont de tels privilèges et désactiver celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Écran de verrouillage et sécurité" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", cliquez dessus, puis cliquez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne doivent pas avoir de privilèges d'administrateur, cliquez dessus, puis appuyez sur "DÉSACTIVER".
Foire Aux Questions (FAQ)
Mon appareil Android est infecté par le maliciel TgToxic, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Non, la plupart des programmes malveillants peuvent être supprimés sans recourir au formatage.
Quels sont les plus gros problèmes que le maliciel TgToxic peut causer ?
Les menaces posées par une infection sont dictées par les capacités du maliciel et le mode opératoire des cybercriminels. TgToxic est un programme qui cherche à acquérir des informations bancaires et financières - afin d'effectuer diverses transactions frauduleuses. Par conséquent, ces infections peuvent entraîner de graves problèmes de confidentialité, des pertes financières et des vols d'identité.
Quel est le but du maliciel TgToxic ?
Dans la plupart des cas, les maliciels sont utilisés pour générer des revenus. Cependant, les cybercriminels peuvent également utiliser ce logiciel pour s'amuser, mener à bien des rancunes personnelles, effectuer du cyberespionnage ou même lancer des attaques à motivation politique/géopolitique.
Comment le maliciel TgToxic a-t-il infiltré mon appareil Android ?
Il a été observé que TgToxic est distribué à l'aide de diverses tactiques d'ingénierie sociale et de fausses applications, notamment : contenu sexuellement explicite, applications de rencontres pour adultes, sites Web de secours gouvernementaux, logiciels/sites liés à la crypto-monnaie, messagers, etc. Cependant, ce maliciel peut également se propager à l'aide d'autres techniques.
Les maliciels prolifèrent principalement via les téléchargements intempestifs, les spams (par exemple, les SMS, les courriels, les PM/DM, etc.), les escroqueries en ligne, les publicités malveillantes, les sources de téléchargement douteuses (par exemple, les logiciels gratuits et les sites d'hébergement de fichiers gratuits, les réseaux de partage P2P , etc.), les outils d'activation de programmes illégaux ("cracks") et les fausses mises à jour.
▼ Montrer la discussion