Не делайте скриншоты в TikTok — теперь так можно потерять все деньги

Они превратили TikTok в банковский троян, а вы даже не заметили.

Масштабная мошенническая кампания под названием ClickTok распространилась по всему миру, используя TikTok как прикрытие для установки вредоносного шпионского ПО SparkKitty. Обнаруженная компанией CTM360, атака сочетает фишинг с вредоносными приложениями, чтобы красть криптовалютные кошельки и опустошать счета своих жертв.

ClickTok представляет собой слаженную схему обмана, маскирующуюся под торговую платформу TikTok Shop. Злоумышленники создают сайты, внешне идентичные настоящим страницам TikTok — таким как TikTok Shop, TikTok Wholesale и TikTok Mall. Через них пользователи приглашаются к покупкам, регистрации в партнёрской программе или пополнению баланса. Однако при оформлении заказов потенциальные жертвы сталкиваются с требованием оплатить товары через криптовалюту, минуя традиционные способы оплаты.

В момент оплаты или установки поддельного приложения начинается заражение устройства. Вредоносная программа SparkKitty, модификация ранее известных троянов семейства SparkCat, получает доступ к хранилищу изображений на устройстве, включая скриншоты и фотографии. Это позволяет ей извлекать данные криптовалютных кошельков, зафиксированные на экране. Одновременно происходит незаметная кража учётных данных, номеров кошельков и других чувствительных данных.

Особенностью атаки является её гибридная архитектура. С одной стороны, используются поддельные сайты с реалистичными доменами вроде .top, .shop и .icu, распространяемые через рекламу в сервисах Meta* и фальшивые AI-видео. Эти ресурсы собирают логины, пароли и данные платёжных систем. С другой стороны, жертвам предлагается скачать поддельное приложение TikTok, которое внешне ничем не отличается от оригинального, но на деле ведёт скрытую слежку за действиями пользователя, мониторит буфер обмена и снимает информацию с экрана.

CTM360 сообщает, что в ходе кампании было задействовано более 10 тысяч фейковых сайтов и свыше 5 тысяч вредоносных сборок приложений. Их распространение происходит через QR-коды, мессенджеры и встроенные ссылки в рекламе. Кампания нацелена как на покупателей, так и на участников партнёрских программ TikTok, обещая бонусы, кэшбэк или выгодные предложения.

Целью атакующих является полный захват контроля над цифровыми активами жертвы. Вместо привычных платёжных систем используется ввод данных криптокошельков напрямую — зачастую через фальшивую страницу пополнения баланса. Пользователя убеждают внести средства в «TikTok-кошелёк» в USDT, ETH или других валютах. После чего деньги бесследно исчезают, а доступ к аккаунту может быть полностью перехвачен.

Для защиты от подобных угроз специалисты рекомендуют избегать установки модифицированных или сомнительных приложений, особенно через Telegram и торренты. Важно всегда вручную проверять корректность доменных имён и внимательно относиться к расширениям сайтов. Также стоит использовать антивирусные решения или EDR-продукты, способные обнаружить поведение SparkKitty. Владельцам криптовалютных кошельков следует выбирать приложения с защитой буфера обмена и исключить хранение приватных ключей в виде скриншотов.

Кампания ClickTok — яркий пример того, как быстро развиваются схемы цифрового мошенничества, объединяя технологии социальной инженерии, поддельной рекламы и вредоносных мобильных приложений. В условиях растущей популярности TikTok как торговой платформы такие атаки становятся всё более изощрёнными и массовыми.