Malware mobile SparkKitty
Un'operazione di criminalità informatica su larga scala sta prendendo di mira gli utenti di TikTok Shop a livello globale, utilizzando un potente mix di tattiche di phishing e applicazioni contenenti malware. Al centro di questa strategia c'è SparkKitty, un malware furtivo e potente integrato in false app TikTok. Sebbene la campagna sembri promuovere l'e-commerce, in realtà è un sofisticato stratagemma per rubare dati e risorse finanziarie degli utenti.
Sommario
Dentro SparkKitty: un intruso silenzioso ma pericoloso
SparkKitty è una variante multipiattaforma di malware progettata per raccogliere informazioni sensibili da dispositivi Android e iOS. Una volta installato tramite un'app TikTok Shop fasulla, avvia silenziosamente una serie di attività intrusive. Rileva le impronte digitali del dispositivo infetto, analizza gli screenshot memorizzati utilizzando il riconoscimento ottico dei caratteri (OCR) per rilevare le frasi iniziali dei wallet di criptovalute e invia i dati rubati a server remoti controllati dagli aggressori. Queste funzionalità rendono SparkKitty uno strumento avanzato e altamente efficace per il furto di dati.
FraudOnTok: una campagna ingannevole su larga scala
I ricercatori di sicurezza informatica hanno etichettato l'operazione in corso come FraudOnTok, riferendosi ai metodi ingannevoli utilizzati per impersonare TikTok Shop. Questa campagna ha una portata globale e si basa in larga misura su domini simili e sull'intelligenza artificiale per ingannare gli utenti.
Gli autori della minaccia distribuiscono il malware attraverso migliaia di siti web falsificati, progettati per imitare i domini ufficiali di TikTok. Questi siti di phishing spesso sembrano legittimi e sono ospitati su domini di primo livello come .top, .shop e .icu. La campagna utilizza anche falsi negozi online che pubblicizzano sconti enormi per convincere gli utenti a scaricare l'app trojanizzata.
A complicare ulteriormente l'inganno, gli aggressori utilizzano video generati dall'intelligenza artificiale che impersonano influencer popolari o account ufficiali di marchi. Questi video vengono diffusi tramite annunci a pagamento su piattaforme come Facebook e TikTok, conferendo alle truffe un'aria di credibilità e aumentandone la portata.
Il manuale dell’attacco: dai clic al compromesso
Una volta che una vittima clicca su un annuncio falso o segue un link contraffatto, viene in genere indirizzata a un sito di phishing o incoraggiata a installare un'app dannosa. Queste app non solo infettano i dispositivi con SparkKitty, ma simulano anche errori di accesso. Alle vittime viene quindi chiesto di accedere utilizzando i propri account Google, consentendo agli aggressori di sfruttare i token OAuth per accedere all'account senza dover immettere direttamente le credenziali.
Se gli utenti tentano di accedere alle funzionalità di TikTok Shop tramite l'app fraudolenta, vengono reindirizzati a pagine di accesso contraffatte, un'altra tattica progettata per rubare le credenziali. La combinazione di phishing e attacchi basati sulle app consente a SparkKitty di compromettere silenziosamente i dispositivi degli utenti, raccogliendo al contempo preziosi dati personali e finanziari.
Schemi di monetizzazione dietro l’operazione
Sebbene la campagna utilizzi diverse tattiche, il suo obiettivo finale è il guadagno economico. L'operazione si rivolge agli utenti di TikTok e ai partecipanti ai programmi di affiliazione con strategie che includono:
- Vendere prodotti falsi o fortemente scontati e richiedere pagamenti in criptovaluta, ingannando sia gli acquirenti sia gli affiliati.
- Convincere gli affiliati a caricare criptovalute in falsi portafogli sulla piattaforma con la promessa di commissioni o bonus di prelievo che non arrivano mai.
- Furto di credenziali di accesso tramite false interfacce TikTok Shop e sfruttamento dei token Google OAuth per ottenere l'accesso senza convalida diretta.
Questi metodi dimostrano come gli aggressori massimizzino i profitti manipolando entrambe le estremità dell'ecosistema TikTok Shop, sia i consumatori che i promotori.
Conclusione: siate cauti, siate protetti
L'ascesa di SparkKitty all'interno della campagna FraudOnTok evidenzia come i criminali informatici si stiano evolvendo, combinando il phishing tradizionale con la diffusione di malware sofisticati. Gli utenti dovrebbero essere estremamente cauti quando interagiscono con i contenuti del TikTok Shop, soprattutto quando viene richiesto di scaricare app o inserire credenziali. Affidarsi solo a piattaforme ufficiali per i download ed essere scettici nei confronti di offerte troppo belle per essere vere è essenziale. Come dimostra SparkKitty, anche un singolo passo falso può portare a gravi furti di dati e perdite finanziarie.
