‘TikTok Pro’ 間諜軟件利用用戶對美國禁令的恐懼竊取信息

惡意軟件可以接管常見的設備功能，并創建網絡釣魚頁面來竊取Facebook憑據。

研究人員發現了一個新的Android間諜軟件活動，該活動正在推動TikTok應用程序的“Pro”版本，該應用程序利用了其年輕而易受騙的用戶的恐懼，他們擔心這個流行的社交媒體應用程序將在美國被禁止。該惡意軟件可以接管基本的設備功能，例如捕獲照片，閱讀和發送SMS消息，撥打電話和啟動應用程序，以及使用網絡釣魚策略來竊取受害者的Facebook憑據。

Zscaler CISO兼安全副總裁Shivang Desai在周二發布的一份報告中表示，這款名為TikTok Pro的流氓應用程序正在由威脅參與者推廣，他們使用已經在四處傳播的活動的變體，通過短信和WhatsApp消息敦促用戶從特定的網址下載最新版本的TikTok。

他說，該活動的第一波傳播了一個假冒的應用程序，其中包含名為“ TikTok Pro”的惡意軟件，該應用程序要求提供憑據和Android權限（包括攝像頭和電話權限），并導致用戶遭到廣告轟炸。

Desai寫道，新浪潮已升級為一個全新的應用程序，該應用程序提供“具有高級功能的間諜軟件，可以輕松監視受害者”。

安裝并打開后，新的“Tik Tok Pro”間諜軟件會啟動虛假通知，該通知隨同該應用程序的圖標一起消失。他在報告中說：“這種虛假的通知策略用于重定向用戶的注意力，同時該應用程序隱藏自身，使用戶認為該應用程序有故障。”

該惡意軟件還具有另一種反檢測功能，因為它在/ res / raw /目錄下存儲了一個額外的有效負載，“這是惡意軟件開發人員將主要有效負載捆綁在Android程序包中的一種常用技術，” Desai寫道。他補充說，有效載荷只是一個誘餌，而不是具有實際的應用程序功能。

間諜軟件的主要執行功能來自名為MainService的Android服務，該服務充當間諜軟件的“大腦”并控制其功能-“從竊取受害者的數據到刪除它的數據”，Desai寫道。

除了能夠接管智能手機的常用功能（例如捕獲照片，發送SMS消息，執行命令，捕獲屏幕截圖，撥打電話號碼以及啟動設備上的其他應用程序）之外，間諜軟件還具有獨特的功能，可以用來竊取Facebook憑證。

與網絡釣魚活動類似，“ Tik Tok Pro”會啟動一個偽造的Facebook登錄頁面，一旦受害者嘗試登錄，該頁面就會將受害者的憑據存儲在/storage/0/DCIM/.fdat中**。然后，另一個命令IODBSSUEEZ將竊取的憑據發送到惡意軟件的命令和控制服務器。

Desai指出，可以將這種網絡釣魚策略擴展為竊取其他關鍵用戶憑據，例如銀行帳戶或金融登錄數據，盡管在觀察到的活動中未發現這種活動。

而且，新的間諜軟件具有許多功能，類似于此類惡意軟件的其他更知名版本，例如Spynote和Spymax，“意味著這可能是這些Trojan構建器的更新版本，即使沒有足夠的知識，也可以允許任何人，開發功能完善的間諜軟件。” Desai指出。

他說，但是，Facebook的憑證竊取功能是“ Tik Tok Pro”所獨有的，而不是以前在這些間諜軟件應用程序中所觀察到的。

使用TikTok品牌傳播惡意軟件的持久性可能是當前流行的視頻共享應用程序存在爭議的結果，該應用程序由中國的ByteDance擁有，并因其可疑的數據收集策略而受到批評。

特朗普總統曾威脅要在美國禁止使用該應用程序，包括微軟和沃爾瑪在內的多家美國公司都在考慮購買該應用程序。印度最近因政治糾紛禁止了TikTok以及其他許多中國應用。

“在禁令中希望使用TikTok應用程序的用戶可能會尋求其他方法來下載該應用程序，” Desai在其報告中寫道。“這樣做，用戶可能會錯誤地安裝惡意應用程序，例如本博客中提到的間諜軟件。”

Desai再次向Android用戶發出警告，提醒他們不要信任SMS或其他消息中收到的未知鏈接，而只能安裝來自Google Play等官方商店的應用程序，以免成為新間諜軟件活動的受害者。

他補充說，另一種緩解策略是在Android設備中禁用“未知來源”選項，這將不允許設備安裝來自未知來源的應用。

要檢查是否在新的間諜軟件運行的是Android設備上未被發現，用戶可以通過將在設備設置應用程序搜索設置- >應用- >搜索這是隱藏的圖標，然后搜索“ TikTok Pro，” Desai建議。