'Tik Tok Pro'-malware

De populariteit van de Chinese applicatie TikTok veroverde de wereld en maakte er een popcultuurfenomeen van. Naar aanleiding van de opmerkingen van president Trump dat hij mogelijk een verbod op de applicatie zou opleggen, heeft de toekomst van TikTok in de VS nogal onzeker gemaakt. Dit opent een uitgelezen kans voor hackers om de angst van TikTok-gebruikers te misbruiken om de toegang tot de applicatie te verliezen om nep- of ronduit bedreigende applicaties te leveren. Inderdaad, de cybersecurity-analisten van Zscaler ontdekten dat een bedreigende campagne precies dat deed.

Aanvankelijk gebruikte de dreigende campagne sms- en WhatsApp-berichten om gebruikers zogenaamd de nieuwste TikTok-update voor TikTok te downloaden, gehost op een privéserver op hxxp: //tiny.cc/TiktokPro. Wat gebruikers echter op hun apparaten installeerden, was in wezen een adware-applicatie die probeert gebruikersreferenties te krijgen en Android-machtigingen te krijgen om het gecompromitteerde apparaat met advertenties te overspoelen.

In latere golven van de campagne hebben de hackers de geleverde lading vervangen door een enorm uitgebreide toolkit genaamd TikTok Pro Malware. Deze nieuwe bedreiging is volledig functionele spyware die privégegevens van de besmette apparaten kan extraheren. Na installatie doet de malwarebedreiging zich voor als de TikTok-applicatie, hoewel de naam die door deze wordt gebruikt TikTok Pro is. Wanneer de gebruiker het uitvoert, geeft de TikTok Pro Malware een nepmelding weer die bedoeld is om de gebruiker af te leiden, terwijl de bedreigende applicatie zijn pictogram verbergt en van het scherm van het apparaat verdwijnt. Een andere anti-detectietechniek die door de TikTok Pro-malware wordt gebruikt, is het gebruik van een tweede lokvogel die geen enkele functionaliteit heeft. De dummy-payload wordt opgeslagen in de / res / raw / directory.

De TikTok Pro Malware heeft unieke Facebook-phishingfuncties

De TikTok Pro is een krachtige spyware die de Android-service MainService gebruikt om een groot aantal verraderlijke acties uit te voeren: sms-berichten en de locatie van het apparaat verzamelen, sms-berichten verzenden en telefoongesprekken voeren, foto's en screenshots van het scherm van het apparaat maken, opdrachten uitvoeren , en start andere applicaties, enz. Alle verzamelde gegevens worden in externe opslag in de /DCIM/.dat/ directory geplaatst.

Afgezien van de typische kenmerken van de meest geavanceerde spywarebedreigingen, is de TikTok Pro uitgerust met de unieke functionaliteit om Facebook-inloggegevens te verzamelen via methoden die vergelijkbaar zijn met phishing. Gebruikers krijgen een valse Facebook-inlogpagina te zien waarop alle inloggegevens die erin zijn ingevoerd op /storage/0/DCIM/.fdat onmiddellijk worden opgeslagen . Opgemerkt moet worden dat dezelfde tactiek kan worden gewijzigd om eenvoudig bankreferenties of andere details te targeten. Alle verzamelde gegevens worden naar de door de hackers opgezette Command-and-Control-infrastructuur (C2) gestuurd.

Hoe wanhopig gebruikers ook zijn om toegang te krijgen tot een bepaalde applicatie, het is van het grootste belang om te onthouden dat het downloaden van een applicatie van een dubieuze of verdachte bron buitengewoon bedreigend is.