Spyware rotulado como ‘TikTok Pro’ explora o medo do banimento dos EUA
O malware pode assumir funções comuns do dispositivo, bem como criar uma página de phishing para roubar credenciais do Facebook.
Os pesquisadores descobriram uma nova campanha de spyware do Android promovendo uma versão “Pro” do aplicativo TikTok que explora o temor entre seus usuários jovens e ingênuos de que o popular aplicativo de mídia social esteja prestes a ser banido nos Estados Unidos. O malware pode assumir funções básicas do dispositivo, como capturar fotos, ler e enviar mensagens SMS, fazer chamadas e iniciar aplicativos, além de usar uma tática de phishing para roubar as credenciais das vítimas no Facebook.
O aplicativo nocivo chamado TikTok Pro está sendo promovido por agentes de ameaças usando uma variante de uma campanha que já está circulando, que incentiva os usuários via SMS e mensagens WhatsApp a baixar a versão mais recente do TikTok de um endereço da web específico, disse Zscaler CISO e VP da segurança Shivang Desai em um relatório publicado terça-feira.
A primeira onda da campanha espalhou um aplicativo falso , contendo malware apelidado de “TikTok Pro”, que pede credenciais e permissões do Android – incluindo permissões de câmera e telefone – e resultou no bombardeio do usuário com anúncios, disse ele.
A nova onda subiu de nível com um aplicativo completamente novo que oferece “spyware completo com recursos premium para espionar a vítima com facilidade”, escreveu Desai.
Depois de instalado e aberto, o novo spyware “Tik Tok Pro” lança uma notificação falsa que desaparece junto com o ícone do aplicativo. “Essa tática de notificação falsa é usada para redirecionar a atenção do usuário, enquanto o aplicativo se esconde, fazendo o usuário acreditar que o aplicativo está com defeito”, disse ele em seu relatório.
O malware também tem outro recurso anti-detecção, pois possui uma carga adicional armazenada no diretório / res / raw / , “uma técnica comum usada por desenvolvedores de malware para agrupar a carga principal dentro do pacote Android”, escreveu Desai. A carga útil é apenas um engodo, em vez de possuir a funcionalidade real do aplicativo, acrescentou.
A principal capacidade de execução do spyware vem de um serviço Android chamado MainService , que atua como o “cérebro” do spyware e controla sua funcionalidade – “desde o roubo de dados da vítima até a exclusão deles”, escreveu Desai.
Além de ter a capacidade de assumir funções comuns do smartphone – como capturar fotos, enviar mensagens SMS, executar comandos, capturar imagens, ligar para números de telefone e iniciar outros aplicativos no dispositivo – o spyware também possui um recurso exclusivo que usa para roubar Credenciais do Facebook.
Semelhante às campanhas de phishing, o “Tik Tok Pro” lança uma página de login falsa do Facebook que, assim que a vítima tenta fazer o login, armazena as credenciais da vítima em /storage/0/DCIM/.fdat . Um comando adicional, IODBSSUEEZ, envia as credenciais roubadas ao servidor de comando e controle do malware.
Desai observou que esse tipo de tática de phishing pode ser estendido para roubar outras credenciais críticas do usuário, como dados de conta bancária ou de login financeiro, embora esse tipo de atividade não tenha sido observado na campanha observada.
Além disso, o novo spyware tem inúmeras funcionalidades semelhantes a outras versões mais conhecidas deste tipo de malware, como Spynote e Spymax, “o que significa que esta pode ser uma versão atualizada destes criadores de cavalos de Tróia, que permitem a qualquer pessoa, mesmo com conhecimento limitado, para desenvolver spyware completo ”, observou Desai.
No entanto, o recurso de roubo de credenciais do Facebook é exclusivo do “Tik Tok Pro” e não algo que foi observado antes com esses aplicativos de spyware, disse ele.
A persistência de usar a marca TikTok para espalhar malware é provavelmente o resultado da atual controvérsia sobre o popular aplicativo de compartilhamento de vídeo, que é propriedade da ByteDance da China e tem sido criticado por suas táticas questionáveis de coleta de dados .
O presidente Trump ameaçou banir o aplicativo nos Estados Unidos e várias empresas americanas – incluindo Microsoft e Wal-Mart – estão planejando comprar o aplicativo. A Índia baniu recentemente o TikTok e muitos outros aplicativos chineses por causa de uma disputa política.
“Os usuários que desejam usar o aplicativo TikTok em meio ao banimento podem procurar métodos alternativos para baixar o aplicativo”, escreveu Desai em seu relatório. “Ao fazer isso, os usuários podem instalar por engano aplicativos maliciosos, como o spyware mencionado neste blog.”
Desai reiterou os avisos usuais aos usuários do Android para não confiarem em links desconhecidos recebidos em SMS ou outras mensagens e para instalar apenas aplicativos de lojas oficiais como o Google Play para evitar serem vítimas da nova campanha de spyware.
Outra tática de mitigação é manter a opção “Fontes desconhecidas” desabilitada no dispositivo Android, o que não permitirá que um dispositivo instale aplicativos de fontes desconhecidas, acrescentou.
Para verificar para ver se o novo spyware está funcionando sem ser detectado em um dispositivo Android, os usuários podem procurar o aplicativo em configurações do dispositivo, indo para Configurações -> Aplicativos -> Pesquise ícone que estava escondido e procure por “ TikTok Pro ”, aconselhou Desai.
Fonte: https://threatpost.com/spyware-labeled-tiktok-pro-exploits-fears-of-us-ban/159050
