近日Zscaler的研究人员发现了一个新的Android间谍软件,该软件化名TikTok Pro假冒TikTok应用程序的专业版,利用美国年轻用户对TikTok美国禁令的恐惧传播。该恶意软件可以接管基本的收集设备功能,例如获取照片、阅读和发送SMS消息、拨打电话和启动应用程序以及使用网络钓鱼策略来窃取受害者的Facebook账户。
Zscaler CISO和VP副总裁Shivang Desai表示,攻击者已经开始推广名为TikTok Pro的流氓应用程序,该推广活动通过短信和WhatsApp消息敦促用户从特定网址下载最新版本的TikTok。
Desai指出,在第一波推广活动中,攻击者散布一个名为TikTok Pro的恶意软件,该应用程序要求提供账户和Android权限(包括摄像头和电话权限),并导致用户遭到广告轰炸。
在第二波推广活动中,TikTok Pro升级为一个全新的间谍应用程序,该应用程序提供“具有高级功能的成熟间谍软件,可以轻松监视受害者”。
安装并打开后,新的TikTok Pro间谍软件会启动虚假通知,该通知随同该应用程序的图标一起消失。他在报告中说:“这种虚假的通知策略用于重定向用户的注意力,同时该应用程序隐藏自身,使用户认为该应用程序有故障。”
该恶意软件还具有另一种反检测功能,因为它在/res/raw/目录下存储了一个额外的有效负载,“这是恶意软件开发人员将主要有效负载捆绑在Android程序包中的一种常用技术,”Desai写道。他补充说,有效载荷只是一个诱饵,而不是具有实际的应用程序功能。
间谍软件的主要执行功能来自名为MainService的Android服务,该服务充当间谍软件的“大脑”并控制其功能“窃取或删除受害者的数据”,Desai写道。
除了能够接管智能手机的常用功能(例如捕获照片、发送SMS消息、执行命令、捕获屏幕截图、拨打电话号码以及启动设备上的其他应用程序)之外,间谍软件还具有独特的功能,可以用来窃取Facebook账户。
与网络钓鱼活动类似,TikTok Pro会启动一个伪造的Facebook登录页面,一旦受害者尝试登录,该页面就会将受害者的账户密码存储在/storage/0/DCIM/.fdat中。然后,另一个命令IODBSSUEEZ将窃取的凭据发送到恶意软件的命令和控制服务器。
Desai指出,攻击者可以将这种网络钓鱼策略扩展为窃取其他关键用户凭据,例如银行账户或金融登录数据,尽管目前尚未发现这种活动。
而且,新的间谍软件具有许多功能,类似于此类恶意软件的其他更知名版本,例如Spynote和Spymax,“这可能意味着新的木马开发工具允许任何人,即使没有专业知识,也可以开发出功能完善的间谍软件。”Desai指出。
但是,Facebook的账户窃取功能是TikTok Pro所独有的。