Malware 'Tik Tok Pro'

La popularidad de la aplicación china TikTok arrasó el mundo y la convirtió en un fenómeno de la cultura pop. Sin embargo, tras los comentarios del presidente Trump de que podría imponer una prohibición a la aplicación, el futuro de TikTok en los EE. UU. Ha sido bastante incierto. Esto abre una excelente oportunidad para que los piratas informáticos exploten el miedo de los usuarios de TikTok a perder el acceso a la aplicación para entregar aplicaciones falsas o directamente amenazantes. De hecho, los analistas de ciberseguridad de Zscaler detectaron una campaña amenazante que hacía exactamente eso.

Inicialmente, la campaña amenazante utilizó mensajes SMS y WhatsApp para dirigir a los usuarios a que supuestamente descargaran la última actualización de TikTok para TikTok alojado en un servidor privado en hxxp: //tiny.cc/TiktokPro. Sin embargo, lo que los usuarios instalaron en sus dispositivos fue esencialmente una aplicación de adware que intenta obtener credenciales de usuario y recibir permisos de Android para inundar el dispositivo comprometido con anuncios.

En oleadas posteriores de la campaña, los piratas informáticos sustituyeron la carga útil entregada con un kit de herramientas enormemente ampliado denominado TikTok Pro Malware. Esta nueva amenaza es un software espía completamente funcional que puede extraer datos privados de los dispositivos comprometidos. Tras la instalación, la amenaza de malware pretende ser la aplicación TikTok, aunque el nombre que utiliza es TikTok Pro. Cuando el usuario lo ejecuta, el TikTok Pro Malware muestra una notificación falsa diseñada para distraer al usuario mientras la aplicación amenazante oculta su icono y desaparece de la pantalla del dispositivo. Otra técnica anti-detección empleada por el malware TikTok Pro es el uso de una segunda carga útil de señuelo que no posee ninguna funcionalidad. La carga útil ficticia se almacena en el directorio / res / raw / .

El malware TikTok Pro tiene funciones únicas de phishing en Facebook

El TikTok Pro es un poderoso software espía que aprovecha el servicio de Android llamado MainService para llevar a cabo una multitud de acciones insidiosas: recopilar mensajes SMS y la ubicación del dispositivo, enviar mensajes SMS e iniciar llamadas telefónicas, capturar fotos y capturas de pantalla de la pantalla del dispositivo, ejecutar comandos e iniciar otras aplicaciones, etc. Todos los datos recopilados se guardan en un almacenamiento externo en el directorio /DCIM/.dat/ .

Además de las características típicas que se encuentran en las amenazas de software espía más sofisticadas, TikTok Pro está equipado con la funcionalidad única para recopilar credenciales de Facebook a través de métodos similares al phishing. A los usuarios se les presenta una página de inicio de sesión de Facebook falsa que almacena las credenciales ingresadas en /storage/0/DCIM/.fdat inmediatamente . Cabe señalar que la misma táctica podría modificarse para apuntar fácilmente a las credenciales bancarias u otros detalles. Todos los datos recopilados se envían a la infraestructura de comando y control (C2) configurada por los piratas informáticos.

No importa cuán desesperados puedan estar los usuarios por obtener acceso a una determinada aplicación, es fundamental recordar que descargar cualquier aplicación de una fuente dudosa o sospechosa es extremadamente amenazante.