SparkKitty 移动恶意软件

一场大规模的网络犯罪活动正瞄准全球 TikTok Shop 用户，他们使用强大的网络钓鱼策略和恶意软件应用程序组合。该阴谋的核心是 SparkKitty，这是一款嵌入在虚假 TikTok 应用程序中的隐秘且功能强大的恶意软件。虽然该活动表面上是为了推广电子商务，但实际上是一个旨在窃取用户数据和金融资产的复杂伎俩。

SparkKitty 内部：一个沉默却危险的入侵者

SparkKitty 是一种跨平台恶意软件变种，旨在从 Android 和 iOS 设备窃取敏感信息。一旦通过伪造的 TikTok Shop 应用安装，它就会悄悄地发起一系列入侵活动。它会采集受感染设备的指纹，使用光学字符识别 (OCR) 分析存储的屏幕截图以检测加密货币钱包的种子短语，并将窃取的数据发送到攻击者控制的远程服务器。这些功能使 SparkKitty 成为一种先进且高效的数据窃取工具。

FraudOnTok：大规模欺骗活动

网络安全研究人员将正在进行的攻击活动命名为“FraudOnTok”，指的是用于冒充TikTok Shop的欺骗性手段。该攻击活动规模全球性，严重依赖相似域名和人工智能来误导用户。

威胁行为者通过数千个模仿TikTok官方域名的伪造网站传播恶意软件。这些钓鱼网站通常看似合法，并托管在.top、.shop和.icu等顶级域名上。该活动还利用虚假店面，以巨额折扣为广告宣传，诱骗用户下载被木马感染的应用程序。

除欺骗手段外，攻击者还会使用人工智能生成的视频，冒充知名网红或官方品牌账号。这些视频通过 Facebook 和 TikTok 等平台上的付费广告传播，让诈骗行为更具可信度，并扩大其传播范围。

攻击策略：从点击到入侵

一旦受害者点击虚假广告或访问欺骗性链接，他们通常会被引导至钓鱼网站或被诱导安装恶意应用。这些应用不仅会感染 SparkKitty 设备，还会模拟登录失败。然后，受害者会被提示使用他们的 Google 帐户登录，从而使攻击者能够利用 OAuth 令牌访问帐户，而无需直接输入凭据。

如果用户尝试在恶意应用中访问 TikTok Shop 功能，他们会被重定向到伪造的登录页面，这是另一种窃取凭证的手段。网络钓鱼和基于应用的攻击相结合，使 SparkKitty 能够悄无声息地入侵用户设备，同时收集宝贵的个人和财务数据。

行动背后的货币化阴谋

尽管该活动采用了多种策略，但其最终目标是获取经济利益。该行动针对TikTok用户和联盟计划参与者，其手段包括：

• 销售假冒产品或大幅折扣产品并要求使用加密货币付款，欺骗购物者和联盟营销人员。
• 说服会员将加密货币存入虚假的平台钱包，并承诺支付永远不会到账的佣金或提款奖金。
• 通过虚假的 TikTok Shop 界面窃取登录凭据并利用 Google OAuth 令牌无需直接验证即可获得访问权限。

这些方法表明攻击者如何通过操纵 TikTok Shop 生态系统的两端（消费者和推广者）来实现利润最大化。

结论：保持谨慎，保持安全

SparkKitty 在 FraudOnTok 活动中的崛起凸显了网络犯罪分子的不断演变，他们将传统的网络钓鱼与复杂的恶意软件传播手段相结合。用户在浏览 TikTok Shop 内容时应保持高度警惕，尤其是在被提示下载应用或输入凭证时。务必仅依赖官方平台下载，并对那些好得令人难以置信的优惠保持警惕。正如 SparkKitty 所表明的那样，即使是一次小小的失误也可能导致严重的数据盗窃和财务损失。