Tik Tok Pro -haittaohjelma

Kiinalaisen TikTok-sovelluksen suosio pyyhkäisi maailmaa ja muutti siitä popkulttuurin ilmiön. Presidentti Trumpin huomautusten perusteella, että hän saattaa määrätä sovellukselle kiellon, on TikTokin tulevaisuus Yhdysvalloissa tullut melko epävarmaksi. Tämä tarjoaa hakkereille erinomaisen mahdollisuuden hyödyntää TikTokin käyttäjien pelkoa menettää pääsy sovellukseen väärennettyjen tai suorastaan uhkaavien sovellusten toimittamiseksi. Zscalerin kyberturvallisuusanalyytikot havaitsivat uhkaavan kampanjan, joka teki juuri tämän.

Aluksi uhkaava kampanja käytti tekstiviestejä ja WhatsApp-viestejä ohjaamaan käyttäjiä oletettavasti lataamaan viimeisimmän TikTok-päivityksen TikTokille, jota isännöi yksityinen palvelin osoitteessa hxxp: //tiny.cc/TiktokPro. Laitteisiinsa asennetut käyttäjät olivat kuitenkin lähinnä adware-sovellus, joka yrittää hankkia käyttäjän tunnistetiedot ja saada Android-käyttöoikeudet vaarantuneen laitteen täyttämiseksi mainoksilla.

Kampanjan myöhemmissä vaiheissa hakkerit korvasivat toimitetun hyötykuorman yhdellä huomattavasti laajennetulla työkalupaketilla, jonka nimi oli TikTok Pro Malware. Tämä uusi uhka on täysin toimiva vakoiluohjelma, joka voi poimia yksityisiä tietoja vaarantuneista laitteista. Asennuksen yhteydessä haittaohjelmien uhka teeskentelee olevan TikTok-sovellus, vaikka sen käyttämä nimi on TikTok Pro. Kun käyttäjä suorittaa sen, TikTok Pro Malware näyttää väärennetyn ilmoituksen, joka on suunniteltu häiritsemään käyttäjää samalla, kun uhkaava sovellus piilottaa kuvakkeensa ja katoaa laitteen näytöltä. Toinen TikTok Pro -haittaohjelmien käyttämä tunnistamisen estotekniikka on toisen houkuttimen hyötykuorman käyttö, jolla ei ole mitään toimintoja. Nuken hyötykuorma tallennetaan hakemistoon / res / raw / hakemisto.

TikTok Pro -haittaohjelmalla on ainutlaatuiset Facebook-phishing-toiminnot

TikTok Pro on tehokas vakoiluohjelma, joka hyödyntää MainService-nimistä Android-palvelua suorittamaan lukuisia salakavalia toimia: kerää tekstiviestejä ja laitteen sijaintia, lähettää tekstiviestejä ja aloittaa puheluita, siepata valokuvia ja kuvakaappauksia laitteen näytöltä, suorittaa komentoja , ja käynnistä muut sovellukset jne. Kaikki kerätyt tiedot sijoitetaan ulkoiseen tallennustilaan hakemistoon /DCIM/.dat/ .

Lukuun ottamatta tyypillisiä ominaisuuksia, jotka löytyvät kehittyneimmistä vakoiluohjelmien uhista, TikTok Pro on varustettu ainutlaatuisella toiminnolla kerätä Facebook-tunnistetietoja tietojenkalastelua muistuttavien menetelmien avulla. Käyttäjille näytetään väärennetty Facebook-kirjautumissivu, joka tallentaa siihen syötetyt kirjautumistiedot osoitteeseen /storage/0/DCIM/.fdat välittömästi . On huomattava, että samaa taktiikkaa voitaisiin muokata kohdistamaan pankkitiedot tai muut yksityiskohdat helposti. Kaikki kerätyt tiedot lähetetään hakkereiden asettamaan Command-and-Control (C2) -infrastruktuuriin.

Ei ole väliä kuinka epätoivoisia käyttäjät pääsisivät tiettyyn sovellukseen, on ensiarvoisen tärkeää muistaa, että minkä tahansa sovelluksen lataaminen epäilyttävästä tai epäilyttävästä lähteestä on erittäin uhkaavaa.