‘TikTok Pro’ 间谍软件利用用户对美国禁令的恐惧窃取信息

恶意软件可以接管常见的设备功能，并创建网络钓鱼页面来窃取Facebook凭据。

研究人员发现了一个新的Android间谍软件活动，该活动正在推动TikTok应用程序的“Pro”版本，该应用程序利用了其年轻而易受骗的用户的恐惧，他们担心这个流行的社交媒体应用程序将在美国被禁止。该恶意软件可以接管基本的设备功能，例如捕获照片，阅读和发送SMS消息，拨打电话和启动应用程序，以及使用网络钓鱼策略来窃取受害者的Facebook凭据。

Zscaler CISO兼安全副总裁Shivang Desai在周二发布的一份报告中表示，这款名为TikTok Pro的流氓应用程序正在由威胁参与者推广，他们使用已经在四处传播的活动的变体，通过短信和WhatsApp消息敦促用户从特定的网址下载最新版本的TikTok。

他说，该活动的第一波传播了一个假冒的应用程序，其中包含名为“ TikTok Pro”的恶意软件，该应用程序要求提供凭据和Android权限（包括摄像头和电话权限），并导致用户遭到广告轰炸。

Desai写道，新浪潮已升级为一个全新的应用程序，该应用程序提供“具有高级功能的间谍软件，可以轻松监视受害者”。

安装并打开后，新的“Tik Tok Pro”间谍软件会启动虚假通知，该通知随同该应用程序的图标一起消失。他在报告中说：“这种虚假的通知策略用于重定向用户的注意力，同时该应用程序隐藏自身，使用户认为该应用程序有故障。”

该恶意软件还具有另一种反检测功能，因为它在/ res / raw /目录下存储了一个额外的有效负载，“这是恶意软件开发人员将主要有效负载捆绑在Android程序包中的一种常用技术，” Desai写道。他补充说，有效载荷只是一个诱饵，而不是具有实际的应用程序功能。

间谍软件的主要执行功能来自名为MainService的Android服务，该服务充当间谍软件的“大脑”并控制其功能-“从窃取受害者的数据到删除它的数据”，Desai写道。

除了能够接管智能手机的常用功能（例如捕获照片，发送SMS消息，执行命令，捕获屏幕截图，拨打电话号码以及启动设备上的其他应用程序）之外，间谍软件还具有独特的功能，可以用来窃取Facebook凭证。

与网络钓鱼活动类似，“ Tik Tok Pro”会启动一个伪造的Facebook登录页面，一旦受害者尝试登录，该页面就会将受害者的凭据存储在/storage/0/DCIM/.fdat中**。然后，另一个命令IODBSSUEEZ将窃取的凭据发送到恶意软件的命令和控制服务器。

Desai指出，可以将这种网络钓鱼策略扩展为窃取其他关键用户凭据，例如银行帐户或金融登录数据，尽管在观察到的活动中未发现这种活动。

而且，新的间谍软件具有许多功能，类似于此类恶意软件的其他更知名版本，例如Spynote和Spymax，“意味着这可能是这些Trojan构建器的更新版本，即使没有足够的知识，也可以允许任何人，开发功能完善的间谍软件。” Desai指出。

他说，但是，Facebook的凭证窃取功能是“ Tik Tok Pro”所独有的，而不是以前在这些间谍软件应用程序中所观察到的。

使用TikTok品牌传播恶意软件的持久性可能是当前流行的视频共享应用程序存在争议的结果，该应用程序由中国的ByteDance拥有，并因其可疑的数据收集策略而受到批评。

特朗普总统曾威胁要在美国禁止使用该应用程序，包括微软和沃尔玛在内的多家美国公司都在考虑购买该应用程序。印度最近因政治纠纷禁止了TikTok以及其他许多中国应用。

“在禁令中希望使用TikTok应用程序的用户可能会寻求其他方法来下载该应用程序，” Desai在其报告中写道。“这样做，用户可能会错误地安装恶意应用程序，例如本博客中提到的间谍软件。”

Desai再次向Android用户发出警告，提醒他们不要信任SMS或其他消息中收到的未知链接，而只能安装来自Google Play等官方商店的应用程序，以免成为新间谍软件活动的受害者。

他补充说，另一种缓解策略是在Android设备中禁用“未知来源”选项，这将不允许设备安装来自未知来源的应用。

要检查是否在新的间谍软件运行的是Android设备上未被发现，用户可以通过将在设备设置应用程序搜索设置- >应用- >搜索这是隐藏的图标，然后搜索“ TikTok Pro，” Desai建议。