'Tik Tok Pro' malware

Populariteten af den kinesiske applikation TikTok fejede verden og gjorde det til et popkulturfænomen. Efter præsident Trumps bemærkninger om, at han måske indfører et forbud mod ansøgningen, har imidlertid gjort TikToks fremtid i USA ret usikker. Dette åbner en primær mulighed for hackere til at udnytte TikToks brugeres frygt for at miste adgang til applikationen for at levere falske eller direkte truende applikationer. Faktisk opdagede cybersikkerhedsanalytikerne hos Zscaler en truende kampagne, der gjorde netop det.

Oprindeligt brugte den truende kampagne SMS- og WhatsApp-meddelelser til instruerede brugere til angiveligt at downloade den nyeste TikTok-opdatering til TikTok hostet på en privat server på hxxp: //tiny.cc/TiktokPro. Men hvad brugere installeret på deres enheder var i det væsentlige en adware-applikation, der forsøger at få brugerlegitimationsoplysninger og modtage Android-tilladelser til at oversvømme den kompromitterede enhed med reklamer.

I senere bølger af kampagnen erstattede hackerne den leverede nyttelast med et meget udvidet værktøjssæt med navnet TikTok Pro Malware. Denne nye trussel er fuldt funktionel spyware, der kan udtrække private data fra de kompromitterede enheder. Efter installationen foregiver malware-truslen at være TikTok-applikationen, selvom det anvendte navn er TikTok Pro. Når brugeren udfører det, viser TikTok Pro Malware en falsk meddelelse designet til at distrahere brugeren, mens den truende applikation skjuler sit ikon og forsvinder fra enhedens skærm. En anden anti-afsløringsteknik, der anvendes af TikTok Pro-malware, er brugen af en anden lokkemængde, der ikke har nogen funktionalitet. Dummy-nyttelasten er gemt i / res / raw / biblioteket.

TikTok Pro Malware har unikke Facebook-phishing-funktioner

TikTok Pro er en kraftfuld spyware, der udnytter Android-tjenesten kaldet MainService til at udføre en lang række snigende handlinger: indsamle SMS-beskeder og enhedens placering, sende SMS-beskeder og indlede telefonopkald, fange fotos og skærmbilleder af enhedens skærm, udføre kommandoer , og start andre applikationer osv. Alle indsamlede data placeres i eksternt lager i /DCIM/.dat/ biblioteket.

Bortset fra de typiske funktioner, der findes i de mest sofistikerede spywaretrusler, er TikTok Pro udstyret med den unikke funktionalitet til at indsamle Facebook-legitimationsoplysninger gennem metoder, der ligner phishing. Brugerne præsenteres med en falsk Facebook-login-side, der straks gemmer legitimationsoplysninger, der er indsat i den på /storage/0/DCIM/.fdat . Det skal bemærkes, at den samme taktik let kan modificeres for let at målrette mod bankoplysninger eller andre detaljer. Alle indsamlede data sendes til Command-and-Control (C2) -infrastrukturen, der er oprettet af hackerne.

Uanset hvor desperate brugere kunne være at få adgang til en bestemt applikation, er det altafgørende at huske, at download af enhver applikation fra en tvivlsom eller mistænkelig kilde er ekstremt truende.