Malware „Tik Tok Pro“

Popularita čínské aplikace TikTok zametla svět a proměnila ji v fenomén popkultury. Po poznámkách prezidenta Trumpa, že by mohl uvalit zákaz aplikace, však byla budoucnost TikToku v USA docela nejistá. To otevírá hackerům vynikající příležitost zneužít strach uživatelů TikToku ze ztráty přístupu k aplikaci a poskytovat tak falešné nebo přímo ohrožující aplikace. Analytici kybernetické bezpečnosti ve společnosti Zscaler skutečně odhalili hrozivou kampaň, která dělá přesně to.

Zpočátku výhružná kampaň používala zprávy SMS a WhatsApp k tomu, aby nasměrovala uživatele, aby si údajně stáhli nejnovější aktualizaci TikTok pro TikTok hostovanou na soukromém serveru na adrese hxxp: //tiny.cc/TiktokPro. To, co uživatelé nainstalovali na svá zařízení, však byla v podstatě aplikace adware, která se pokouší získat pověření uživatele a získat oprávnění systému Android k zaplavení napadeného zařízení reklamami.

V pozdějších vlnách kampaně hackeři nahradili dodané užitečné zatížení jednou výrazně rozšířenou sadou nástrojů nazvanou TikTok Pro Malware. Tato nová hrozba je plně funkční spyware, který dokáže extrahovat soukromá data z napadených zařízení. Po instalaci hrozba malwaru předstírá, že je aplikací TikTok, i když se používá název TikTok Pro. Když jej uživatel spustí, zobrazí TikTok Pro Malware falešné oznámení určené k rozptýlení uživatele, zatímco ohrožující aplikace skryje svou ikonu a zmizí z obrazovky zařízení. Další technikou detekce používanou malwarem TikTok Pro je použití druhého návnadového užitečného zatížení, které nemá žádnou funkci. Fiktivní užitečné zatížení je uloženo v adresáři / res / raw / .

Malware TikTok Pro má jedinečné funkce phishingu na Facebooku

TikTok Pro je výkonný spyware, který využívá službu Android nazvanou MainService k provádění mnoha zákeřných akcí: shromažďování zpráv SMS a polohy zařízení, odesílání zpráv SMS a zahájení telefonních hovorů, pořizování fotografií a snímků obrazovky zařízení, provádění příkazů a spusťte další aplikace atd. Všechna shromážděná data jsou umístěna do externího úložiště v adresáři /DCIM/.dat/ .

Kromě typických funkcí, které se vyskytují u nejsofistikovanějších spywarových hrozeb, je TikTok Pro vybaven jedinečnou funkcí shromažďování pověření Facebooku pomocí metod podobných phishingu. Uživatelům se zobrazuje falešná přihlašovací stránka Facebooku, která okamžitě ukládá veškerá pověření zadaná do ní na /storage/0/DCIM/.fdat . Je třeba poznamenat, že stejnou taktiku lze upravit tak, aby bylo možné snadno zacílit bankovní údaje nebo jiné podrobnosti. Všechna shromážděná data se odesílají na infrastrukturu Command-and-Control (C2) nastavenou hackery.

Bez ohledu na to, jak zoufalí by uživatelé mohli získat přístup k určité aplikaci, je nesmírně důležité si uvědomit, že stahování jakékoli aplikace z pochybného nebo podezřelého zdroje je extrémně nebezpečné.