- 19,534
- 40
- 8 Ноя 2022
Они превратили TikTok в банковский троян, а вы даже не заметили.
Масштабная мошенническая кампания под названием ClickTok распространилась по всему миру, используя TikTok как прикрытие для установки вредоносного шпионского ПО SparkKitty. Для просмотра ссылки Войдиили Зарегистрируйся компанией CTM360, атака сочетает фишинг с вредоносными приложениями, чтобы красть криптовалютные кошельки и опустошать счета своих жертв.
ClickTok представляет собой слаженную схему обмана, маскирующуюся под торговую платформу TikTok Shop. Злоумышленники создают сайты, внешне идентичные настоящим страницам TikTok — таким как TikTok Shop, TikTok Wholesale и TikTok Mall. Через них пользователи приглашаются к покупкам, регистрации в партнёрской программе или пополнению баланса. Однако при оформлении заказов потенциальные жертвы сталкиваются с требованием оплатить товары через криптовалюту, минуя традиционные способы оплаты.
В момент оплаты или установки поддельного приложения начинается заражение устройства. Вредоносная программа SparkKitty, модификация ранее известных троянов семейства SparkCat, получает доступ к хранилищу изображений на устройстве, включая скриншоты и фотографии. Это позволяет ей извлекать данные криптовалютных кошельков, зафиксированные на экране. Одновременно происходит незаметная кража учётных данных, номеров кошельков и других чувствительных данных.
Особенностью атаки является её гибридная архитектура. С одной стороны, используются поддельные сайты с реалистичными доменами вроде .top, .shop и .icu, распространяемые через рекламу в сервисах Meta* и фальшивые AI-видео. Эти ресурсы собирают логины, пароли и данные платёжных систем. С другой стороны, жертвам предлагается скачать поддельное приложение TikTok, которое внешне ничем не отличается от оригинального, но на деле ведёт скрытую слежку за действиями пользователя, мониторит буфер обмена и снимает информацию с экрана.
CTM360 сообщает, что в ходе кампании было задействовано более 10 тысяч фейковых сайтов и свыше 5 тысяч вредоносных сборок приложений. Их распространение происходит через QR-коды, мессенджеры и встроенные ссылки в рекламе. Кампания нацелена как на покупателей, так и на участников партнёрских программ TikTok, обещая бонусы, кэшбэк или выгодные предложения.
Целью атакующих является полный захват контроля над цифровыми активами жертвы. Вместо привычных платёжных систем используется ввод данных криптокошельков напрямую — зачастую через фальшивую страницу пополнения баланса. Пользователя убеждают внести средства в «TikTok-кошелёк» в USDT, ETH или других валютах. После чего деньги бесследно исчезают, а доступ к аккаунту может быть полностью перехвачен.
Для защиты от подобных угроз специалисты рекомендуют избегать установки модифицированных или сомнительных приложений, особенно через Telegram и торренты. Важно всегда вручную проверять корректность доменных имён и внимательно относиться к расширениям сайтов. Также стоит использовать антивирусные решения или EDR-продукты, способные обнаружить поведение SparkKitty. Владельцам криптовалютных кошельков следует выбирать приложения с защитой буфера обмена и исключить хранение приватных ключей в виде скриншотов.
Кампания ClickTok — яркий пример того, как быстро развиваются схемы цифрового мошенничества, объединяя технологии социальной инженерии, поддельной рекламы и вредоносных мобильных приложений. В условиях растущей популярности TikTok как торговой платформы такие атаки становятся всё более изощрёнными и массовыми.
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
Масштабная мошенническая кампания под названием ClickTok распространилась по всему миру, используя TikTok как прикрытие для установки вредоносного шпионского ПО SparkKitty. Для просмотра ссылки Войди
ClickTok представляет собой слаженную схему обмана, маскирующуюся под торговую платформу TikTok Shop. Злоумышленники создают сайты, внешне идентичные настоящим страницам TikTok — таким как TikTok Shop, TikTok Wholesale и TikTok Mall. Через них пользователи приглашаются к покупкам, регистрации в партнёрской программе или пополнению баланса. Однако при оформлении заказов потенциальные жертвы сталкиваются с требованием оплатить товары через криптовалюту, минуя традиционные способы оплаты.
В момент оплаты или установки поддельного приложения начинается заражение устройства. Вредоносная программа SparkKitty, модификация ранее известных троянов семейства SparkCat, получает доступ к хранилищу изображений на устройстве, включая скриншоты и фотографии. Это позволяет ей извлекать данные криптовалютных кошельков, зафиксированные на экране. Одновременно происходит незаметная кража учётных данных, номеров кошельков и других чувствительных данных.
Особенностью атаки является её гибридная архитектура. С одной стороны, используются поддельные сайты с реалистичными доменами вроде .top, .shop и .icu, распространяемые через рекламу в сервисах Meta* и фальшивые AI-видео. Эти ресурсы собирают логины, пароли и данные платёжных систем. С другой стороны, жертвам предлагается скачать поддельное приложение TikTok, которое внешне ничем не отличается от оригинального, но на деле ведёт скрытую слежку за действиями пользователя, мониторит буфер обмена и снимает информацию с экрана.
CTM360 сообщает, что в ходе кампании было задействовано более 10 тысяч фейковых сайтов и свыше 5 тысяч вредоносных сборок приложений. Их распространение происходит через QR-коды, мессенджеры и встроенные ссылки в рекламе. Кампания нацелена как на покупателей, так и на участников партнёрских программ TikTok, обещая бонусы, кэшбэк или выгодные предложения.
Целью атакующих является полный захват контроля над цифровыми активами жертвы. Вместо привычных платёжных систем используется ввод данных криптокошельков напрямую — зачастую через фальшивую страницу пополнения баланса. Пользователя убеждают внести средства в «TikTok-кошелёк» в USDT, ETH или других валютах. После чего деньги бесследно исчезают, а доступ к аккаунту может быть полностью перехвачен.
Для защиты от подобных угроз специалисты рекомендуют избегать установки модифицированных или сомнительных приложений, особенно через Telegram и торренты. Важно всегда вручную проверять корректность доменных имён и внимательно относиться к расширениям сайтов. Также стоит использовать антивирусные решения или EDR-продукты, способные обнаружить поведение SparkKitty. Владельцам криптовалютных кошельков следует выбирать приложения с защитой буфера обмена и исключить хранение приватных ключей в виде скриншотов.
Кампания ClickTok — яркий пример того, как быстро развиваются схемы цифрового мошенничества, объединяя технологии социальной инженерии, поддельной рекламы и вредоносных мобильных приложений. В условиях растущей популярности TikTok как торговой платформы такие атаки становятся всё более изощрёнными и массовыми.
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
- Источник новости
- www.securitylab.ru
