SparkKitty Mobile Malware

Ang malawakang operasyon ng cybercriminal ay nagta-target sa mga user ng TikTok Shop sa buong mundo, gamit ang isang malakas na halo ng mga taktika sa phishing at mga application na may malware. Ang sentro ng scheme na ito ay ang SparkKitty, isang patago at may kakayahang malware na naka-embed sa mga pekeng TikTok app. Bagama't lumilitaw na nagpo-promote ang kampanya ng e-commerce, ito ay, sa katotohanan, isang sopistikadong pakana upang magnakaw ng data ng user at mga asset na pinansyal.

Sa Loob ng SparkKitty: Isang Tahimik ngunit Mapanganib na Manghihimasok

Ang SparkKitty ay isang cross-platform na variant ng malware na idinisenyo upang kumuha ng sensitibong impormasyon mula sa parehong mga Android at iOS device. Kapag na-install na sa pamamagitan ng isang pekeng TikTok Shop app, tahimik itong nagpapasimula ng hanay ng mga mapanghimasok na aktibidad. Pini-fingerprint nito ang infected na device, sinusuri ang mga naka-imbak na screenshot gamit ang optical character recognition (OCR) para makita ang mga pariralang binhi ng cryptocurrency wallet, at nagpapadala ng ninakaw na data sa mga server na kontrolado ng attacker. Ginagawa ng mga feature na ito ang SparkKitty na isang advanced at lubos na epektibong tool sa pagnanakaw ng data.

FraudOnTok: Isang Mapanlinlang na Kampanya sa Scale

Nilagyan ng label ng mga mananaliksik sa cybersecurity ang patuloy na operasyong FraudOnTok, na tinutukoy ang mga mapanlinlang na pamamaraan na ginagamit upang gayahin ang TikTok Shop. Ang kampanyang ito ay pandaigdigan ang saklaw at lubos na umaasa sa mga kamukhang domain at artificial intelligence upang iligaw ang mga user.

Ang mga aktor ng pagbabanta ay namamahagi ng malware sa pamamagitan ng libu-libong mga spoofed na website na idinisenyo upang gayahin ang mga opisyal na domain ng TikTok. Ang mga phishing site na ito ay madalas na lumalabas na lehitimo at naka-host sa mga nangungunang antas ng domain tulad ng .top, .shop, at .icu. Gumagamit din ang campaign ng mga pekeng storefront na nag-a-advertise ng malalaking diskwento para kumbinsihin ang mga user na i-download ang trojanized na app.

Dagdag pa sa panlilinlang, gumagamit ang mga attacker ng mga video na binuo ng AI na nagpapanggap bilang mga sikat na influencer o opisyal na brand account. Ang mga video na ito ay kumakalat sa pamamagitan ng mga bayad na ad sa mga platform tulad ng Facebook at TikTok, na nagbibigay sa mga scam ng kredibilidad at pinapataas ang kanilang abot.

Ang Attack Playbook: Mula sa Mga Pag-click hanggang sa Pagkompromiso

Kapag nag-click ang biktima sa isang pekeng ad o sumunod sa isang spoofed na link, kadalasang idinidirekta sila sa isang phishing site o hinihikayat na mag-install ng nakakahamak na app. Ang mga app na ito ay hindi lamang nakakahawa sa mga device gamit ang SparkKitty ngunit ginagaya rin ang mga pagkabigo sa pag-log in. Pagkatapos ay sinenyasan ang mga biktima na mag-log in gamit ang kanilang mga Google account, na nagpapahintulot sa mga umaatake na samantalahin ang mga token ng OAuth para sa pag-access sa account nang hindi nangangailangan ng direktang input ng kredensyal.

Kung tatangkain ng mga user na i-access ang mga feature ng TikTok Shop sa loob ng rogue app, ire-redirect sila sa mga pekeng login page, isa pang taktika na idinisenyo upang magnakaw ng mga kredensyal. Ang kumbinasyon ng phishing at mga pag-atake na nakabatay sa app ay nagbibigay-daan sa SparkKitty na tahimik na ikompromiso ang mga device ng user habang nangangalap ng mahalagang personal at pinansyal na data.

Mga Monetization Scheme sa Likod ng Operasyon

Bagama't gumagamit ang kampanya ng ilang mga taktika, ang pinakalayunin nito ay pakinabang sa pananalapi. Ang operasyon ay nagta-target ng mga gumagamit ng TikTok at mga kalahok sa programa ng kaakibat na may mga scheme na kinabibilangan ng:

• Pagbebenta ng mga pekeng produkto o may malaking diskwento at humihingi ng mga pagbabayad sa cryptocurrency, nanlilinlang sa parehong mga mamimili at mga affiliate na marketer.
• Pagkumbinsi sa mga kaakibat na i-load ang crypto sa mga pekeng on-platform na wallet na may pangako ng mga komisyon o withdrawal bonus na hindi nararating.
• Pagnanakaw ng mga kredensyal sa pag-log in sa pamamagitan ng mga pekeng interface ng TikTok Shop at paggamit ng mga token ng Google OAuth upang makakuha ng access nang walang direktang pagpapatunay.

Ang mga pamamaraang ito ay nagpapakita kung paano pinalaki ng mga umaatake ang kita sa pamamagitan ng pagmamanipula sa magkabilang dulo ng ecosystem ng TikTok Shop, pareho ang mga consumer at promoter.

Konklusyon: Manatiling Maingat, Manatiling Protektado

Ang pag-usbong ng SparkKitty sa loob ng kampanya ng FraudOnTok ay nagpapakita kung paano umuunlad ang mga cybercriminal, na pinagsasama ang tradisyonal na phishing sa sopistikadong paghahatid ng malware. Ang mga gumagamit ay dapat manatiling lubos na maingat kapag nakikipag-ugnayan sa nilalaman ng TikTok Shop, lalo na kapag sinenyasan na mag-download ng mga app o maglagay ng mga kredensyal. Ang pag-asa lamang sa mga opisyal na platform para sa mga pag-download at pagiging may pag-aalinlangan sa napakahusay na mga deal ay mahalaga. Gaya ng ipinapakita ng SparkKitty, kahit isang maling hakbang ay maaaring humantong sa matinding pagnanakaw ng data at pagkawala ng pananalapi.