תוכנה זדונית למובייל של SparkKitty
מבצע נרחב של פושעי סייבר מתמקד במשתמשי TikTok Shop ברחבי העולם, תוך שימוש בשילוב עוצמתי של טקטיקות פישינג ואפליקציות המכילות תוכנות זדוניות. מרכזי בתכנית זו הוא SparkKitty, תוכנה זדונית חשאית ובעלת יכולות מוטבעת באפליקציות TikTok מזויפות. בעוד שהקמפיין נראה כמקדם מסחר אלקטרוני, במציאות מדובר בתכסיס מתוחכם לגניבת נתוני משתמשים ונכסים פיננסיים.
תוכן העניינים
בתוך SparkKitty: פולש שקט אך מסוכן
SparkKitty היא גרסה חוצת פלטפורמות של תוכנה זדונית שנועדה לאסוף מידע רגיש ממכשירי אנדרואיד ו-iOS כאחד. לאחר התקנתה דרך אפליקציית TikTok Shop מזויפת, היא מתחילה בשקט מגוון פעילויות פולשניות. היא מבצעת טביעות אצבע מהמכשיר הנגוע, מנתחת צילומי מסך המאוחסנים באמצעות זיהוי תווים אופטי (OCR) כדי לזהות ביטויי זרע של ארנקי קריפטו, ושולחת נתונים גנובים לשרתים הנשלטים על ידי תוקפים מרוחקים. תכונות אלו הופכות את SparkKitty לכלי גניבת נתונים מתקדם ויעיל ביותר.
FraudOnTok: קמפיין מטעה בקנה מידה גדול
חוקרי אבטחת סייבר כינו את המבצע המתמשך FraudOnTok, בהתייחסו לשיטות המטעות בהן נעשה שימוש כדי להתחזות ל-TikTok Shop. קמפיין זה הוא בעל היקף עולמי והוא מסתמך במידה רבה על דומיינים דומים ובינה מלאכותית כדי להטעות משתמשים.
גורמי איום מפיצים את הנוזקה דרך אלפי אתרים מזויפים שנועדו לחקות דומיינים רשמיים של טיקטוק. אתרי פישינג אלה נראים לעתים קרובות לגיטימיים ומתארחים בדומיינים ברמה העליונה כמו .top, .shop ו- .icu. הקמפיין משתמש גם בחנויות מזויפות המפרסמות הנחות עצומות כדי לשכנע משתמשים להוריד את האפליקציה הטרויאנית.
בנוסף להונאה, התוקפים משתמשים בסרטונים שנוצרו על ידי בינה מלאכותית ומתחזים למשפיענים פופולריים או לחשבונות מותג רשמיים. סרטונים אלה מופצים באמצעות פרסומות בתשלום בפלטפורמות כמו פייסבוק וטיקטוק, מה שמעניק להונאות אווירה של אמינות ומגדיל את טווח ההגעה שלהן.
ספר התקיפה: מקליקים לפשרה
ברגע שקורבן לוחץ על פרסומת מזויפת או עוקב אחר קישור מזויף, הוא בדרך כלל מופנה לאתר פישינג או מעודד להתקין אפליקציה זדונית. אפליקציות אלו לא רק מדביקות מכשירים עם SparkKitty, אלא גם מדמות כשלים בכניסה. לאחר מכן, הקורבנות מתבקשים להתחבר באמצעות חשבונות גוגל שלהם, מה שמאפשר לתוקפים לנצל אסימוני OAuth לגישה לחשבון מבלי להזדקק להזנת אישורים ישירה.
אם משתמשים מנסים לגשת לתכונות של TikTok Shop בתוך האפליקציה המזוויעה, הם מופנים לדפי כניסה מזויפים, טקטיקה נוספת שנועדה לגנוב אישורים. השילוב של פישינג והתקפות מבוססות אפליקציות מאפשר ל-SparkKitty לפגוע בשקט במכשירי המשתמשים תוך איסוף נתונים אישיים וכספיים יקרי ערך.
תוכניות המונטיזציה מאחורי המבצע
למרות שהקמפיין משתמש במספר טקטיקות, המטרה הסופית שלו היא רווח כספי. המבצע מכוון למשתמשי טיקטוק ולמשתתפי תוכנית שותפים באמצעות תוכניות הכוללות:
- מכירת מוצרים מזויפים או בהנחות משמעותיות ובקשת תשלומים במטבעות קריפטוגרפיים, תוך הטעיית קונים ומשווקי שותפים כאחד.
- לשכנע שותפים לטעון קריפטו לארנקים מזויפים בפלטפורמה עם הבטחה לעמלות או בונוסי משיכה שלעולם לא מגיעים.
- גניבת פרטי כניסה דרך ממשקי TikTok Shop מזויפים וניצול אסימוני OAuth של גוגל כדי לקבל גישה ללא אימות ישיר.
שיטות אלו מראות כיצד התוקפים ממקסמים רווחים על ידי מניפולציה של שני קצוות המערכת האקולוגית של TikTok Shop, צרכנים ומקדמים כאחד.
סיכום: הישארו זהירים, הישארו מוגנים
עלייתה של SparkKitty במסגרת קמפיין FraudOnTok מדגישה כיצד פושעי סייבר מתפתחים, ומשלבים פישינג מסורתי עם העברת תוכנות זדוניות מתוחכמות. על המשתמשים להישאר זהירים מאוד בעת אינטראקציה עם תוכן של חנות TikTok, במיוחד כאשר מתבקשים להוריד אפליקציות או להזין אישורים. הסתמכות רק על פלטפורמות רשמיות להורדות וספקנות לגבי עסקאות טובות מכדי להיות אמיתיות היא חיונית. כפי שמדגים SparkKitty, אפילו טעות אחת עלולה להוביל לגניבת נתונים חמורה ולהפסד כספי.
