Вредоносная кампания FraudOnTok нацелена на пользователей магазина TikTok с помощью поддельных приложений и фишинговых тактик

CTM360 разоблачает кампанию FraudOnTok, направленную против пользователей магазина TikTok с помощью поддельных приложений и фишинга, а также с использованием шпионского ПО SparkKitty для кражи данных криптовалютного кошелька и кражи средств.

Компания CTM360, специализирующаяся на кибербезопасности , обнаружила масштабную вредоносную кампанию FraudOnTok , активно нацеленную на пользователей магазина TikTok. Эта сложная операция сочетает в себе фишинг и распространение вредоносного ПО, целью которой является кража учётных данных криптовалютных кошельков и компрометация пользовательских устройств.

В основе этой кампании лежит вредоносное ПО SparkKitty, аналогичный SparkCat, ранее описанный «Лабораторией Касперского». SparkKitty распространяется через поддельные приложения и веб-сайты, связанные с TikTok, которые имитируют легитимные сервисы электронной коммерции TikTok.

Как работает FraudOnTok: многоуровневая кибератака, имитирующая магазин TikTok

Кампания FraudOnTok начинается с имитации коммерческих платформ TikTok — TikTok Shop, TikTok Wholesale и TikTok Mall. Злоумышленники создают поддельные веб-сайты, копирующие настоящий интерфейс TikTok, чтобы обмануть пользователей и заставить их поверить, что они совершают настоящие покупки или участвуют в партнёрских программах.

Жертв заманивают с помощью:

Метареклама с поддельными предложениями продуктов
Рекламные видеоролики, созданные с помощью ИИ
Похожие домены с расширениями вроде .top, .shop,.icu

Попав на эти сайты, пользователи вынуждены авторизоваться и совершать платежи с помощью криптовалютных кошельков. Но на этом ловушка и замыкается.

Шпионское ПО SparkKitty: как оно крадет данные

Когда пользователи устанавливают поддельное приложение TikTok или взаимодействуют с вредоносным сайтом, активируется шпионское ПО SparkKitty. Оно внедряется в устройство и собирает конфиденциальные данные следующим образом:

Доступ к фотогалерее
Извлечение скриншотов, содержащих информацию о кошельке
Очистка содержимого буфера обмена
Включение скрытого наблюдения за активностью устройства

Шпионское ПО распространяется через модифицированные APK-файлы TikTok, распространяемые через QR-коды, приложения для обмена сообщениями и прямые загрузки. Эти поддельные приложения идеально имитируют оригинальный пользовательский интерфейс TikTok, ещё больше вводя пользователей в заблуждение.

Масштаб кампании: развернуты тысячи поддельных сайтов и приложений

Расследование CTM360 показало:

Более 10 000 поддельных сайтов TikTok , многие из которых размещены на бесплатных или недорогих доменах верхнего уровня.
Более 5000 уникальных вредоносных приложений , замаскированных под приложения, связанные с TikTok
Выдача себя за несколько коммерческих брендов TikTok, включая оптовые и торговые подразделения

Гибридная структура мошенничества: фишинг встречается с троянским вредоносным ПО

Кампания FraudOnTok следует гибридной модели, которая включает в себя:

Жертвы фишинговых страниц
перенаправляются на веб-сайты, где им предлагается ввести учётные данные, платёжные данные или профили продавцов. Эти данные незаметно собираются и используются для дальнейших атак или продаются в даркнете.

Троянизированные приложения
. Жертвам предлагается установить на мобильных устройствах поддельные приложения TikTok со встроенным SparkKitty. Эти приложения позволяют злоумышленникам следить за устройством, красть учётные данные и взламывать криптовалютные кошельки.

Финансовый аспект: криптовалютные платежи и кража кошельков

В этом мошенничестве не используются традиционные карточные платежи. Вместо этого жертвам предлагают платить цифровыми активами, такими как USDT, ETH или другими криптовалютами. Их часто просят «пополнить» кошельки на якобы официальных платформах TikTok. После совершения транзакции шпионское ПО похищает данные кошелька и списывает средства.