برنامج SparkKitty الخبيث للهواتف المحمولة
تستهدف عملية إجرامية إلكترونية واسعة النطاق مستخدمي متجر تيك توك حول العالم، باستخدام مزيج فعال من أساليب التصيد الاحتيالي والتطبيقات المُحمّلة بالبرمجيات الخبيثة. ويُعد SparkKitty، وهو برنامج خبيث خفي وفعال مُدمج في تطبيقات تيك توك المزيفة، محور هذه العملية. وبينما تبدو هذه الحملة وكأنها تُروّج للتجارة الإلكترونية، إلا أنها في الواقع حيلة مُعقدة لسرقة بيانات المستخدمين وأصولهم المالية.
جدول المحتويات
داخل سبارك كيتي: دخيل صامت ولكنه خطير
SparkKitty هو برنامج ضار متعدد المنصات، مصمم لجمع معلومات حساسة من أجهزة Android وiOS. بمجرد تثبيته عبر تطبيق TikTok Shop وهمي، يبدأ بصمت مجموعة من الأنشطة التطفلية. يقوم بأخذ بصمة الجهاز المصاب، وتحليل لقطات الشاشة المخزنة باستخدام تقنية التعرف الضوئي على الحروف (OCR) للكشف عن عبارات محفظة العملات المشفرة، ثم يرسل البيانات المسروقة إلى خوادم يتحكم بها المهاجمون عن بُعد. هذه الميزات تجعل SparkKitty أداة متقدمة وفعالة للغاية لسرقة البيانات.
FraudOnTok: حملة خادعة واسعة النطاق
أطلق باحثو الأمن السيبراني على العملية الجارية اسم FraudOnTok، في إشارة إلى الأساليب الخادعة المستخدمة لانتحال هوية متجر TikTok. هذه الحملة عالمية النطاق، وتعتمد بشكل كبير على النطاقات المتشابهة والذكاء الاصطناعي لتضليل المستخدمين.
ينشر مُهَدِّدو البرامج الضارة عبر آلاف المواقع الإلكترونية المُزيَّفة المُصمَّمة لتقليد نطاقات TikTok الرسمية. غالبًا ما تبدو مواقع التصيُّد هذه شرعية، وتُستضاف على نطاقات رئيسية مثل .top و.shop و.icu. كما تستخدم الحملة واجهات متاجر مزيفة تُعلن عن خصومات هائلة لإقناع المستخدمين بتنزيل التطبيق المُزوَّر.
يُضاف إلى أساليب الخداع هذه، استخدام المهاجمين مقاطع فيديو مُولّدة بالذكاء الاصطناعي، تنتحل هوية مؤثرين مشهورين أو حسابات علامات تجارية رسمية. تُنشر هذه المقاطع عبر إعلانات مدفوعة على منصات مثل فيسبوك وتيك توك، مما يُضفي على عمليات الاحتيال مصداقيةً ويزيد من انتشارها.
دليل الهجوم: من النقرات إلى الاختراق
بمجرد أن ينقر الضحية على إعلان مزيف أو يتبع رابطًا مزيفًا، يُوجَّه عادةً إلى موقع تصيد احتيالي أو يُشجَّع على تثبيت تطبيق ضار. لا تُصيب هذه التطبيقات الأجهزة بـ SparkKitty فحسب، بل تُحاكي أيضًا عمليات فشل تسجيل الدخول. ثم يُطلب من الضحايا تسجيل الدخول باستخدام حساباتهم على Google، مما يسمح للمهاجمين باستغلال رموز OAuth للوصول إلى حساباتهم دون الحاجة إلى إدخال بيانات اعتماد مباشرة.
إذا حاول المستخدمون الوصول إلى ميزات متجر تيك توك داخل التطبيق الاحتيالي، فسيتم إعادة توجيههم إلى صفحات تسجيل دخول مزيفة، وهي تكتيك آخر مصمم لسرقة بيانات الاعتماد. يتيح مزيج التصيد الاحتيالي والهجمات عبر التطبيقات لـ SparkKitty اختراق أجهزة المستخدمين سرًا وجمع بيانات شخصية ومالية قيّمة.
مخططات الربح وراء العملية
على الرغم من استخدام الحملة لأساليب متعددة، إلا أن هدفها النهائي هو الربح المادي. تستهدف العملية مستخدمي تيك توك والمشاركين في برامج التسويق بالعمولة من خلال برامج تشمل:
- بيع منتجات مزيفة أو مخفضة بشكل كبير وطلب مدفوعات بالعملة المشفرة، وخداع كل من المتسوقين والمسوقين التابعين.
- إقناع الشركات التابعة بتحميل العملات المشفرة في محافظ وهمية على المنصة مع وعد بالعمولات أو مكافآت السحب التي لا تصل أبدًا.
- سرقة بيانات اعتماد تسجيل الدخول عبر واجهات متجر TikTok المزيفة والاستفادة من رموز Google OAuth للحصول على إمكانية الوصول دون التحقق المباشر.
تُظهر هذه الأساليب كيف يقوم المهاجمون بتعظيم الأرباح من خلال التلاعب بكلا طرفي نظام TikTok Shop، المستهلكين والمروجين على حد سواء.
الخلاصة: كن حذرًا، ابق محميًا
يُسلّط صعود SparkKitty ضمن حملة FraudOnTok الضوء على تطور مجرمي الإنترنت، حيث يمزجون بين التصيد الاحتيالي التقليدي وبرمجيات خبيثة متطورة. ينبغي على المستخدمين توخي الحذر الشديد عند التعامل مع محتوى متجر TikTok، خاصةً عند مطالبتهم بتنزيل التطبيقات أو إدخال بيانات الاعتماد. يُعدّ الاعتماد فقط على المنصات الرسمية للتنزيلات والتشكيك في العروض التي تبدو مُبالغًا فيها أمرًا بالغ الأهمية. وكما يُبيّن SparkKitty، فإن أي خطأ بسيط قد يؤدي إلى سرقة بيانات جسيمة وخسارة مالية.
