Zscaler deckt neue TikTok-Spionagesoftware auf

Die aktuellen Streitigkeiten zwischen der Trump-Regierung und ByteDance als Mutterkonzern von TikTok fluten die sozialen Medien. Wenn derart populäre Apps so prominent in den Medien auftauchen, wollen Hacker ebenfalls von der Aufmerksamkeit profitieren und dementsprechend nahmen sie diese App unlängst in ihr Visier. Cyberkriminelle machen sich zu Nutze, dass der bekannten App TikTok der Ausschluss aus dem Google App Store droht. Nach einer solchen Verbannung aus Google Play suchen viele Anwender nach alternativen Download-Möglichkeiten. Das führt unweigerlich dazu, dass ahnungslose User Malware auf den Leim gehen können, die sich als Original-App ausgibt.

Die Sicherheitsforscher des Zscaler ThreatLabZ-Teams beobachteten jüngst eine Flut von SMS und WhatsApp-Nachrichten, durch die User aufgefordert werden, eine neue Version von TikTok herunterzuladen – mit Link. In Wirklichkeit handelt es sich bei dieser angebotenen Software jedoch um eine Fälschung, die nach Anmeldedaten und Android-Berechtigungen (einschließlich des Zugriffs auf Kamera und Telefon) fragt, um den Anwender umgehend mit Werbung zu überfluten.

Kürzlich sind die Experten auf eine weitere Variante gestoßen, die sich als TikTok Pro ausgibt. Auch dahinter steckt eine vollwertige Spyware, ausgerüstet mit hervorragend programmierten Funktionen. Sobald ein Benutzer versucht, die App zu öffnen, erscheint eine gefälschte Benachrichtigung, die bald darauf gemeinsam mit dem App-Symbol wieder vom Bildschirm verschwinden. Diese Taktik wird verwendet, um die Aufmerksamkeit des Benutzers abzulenken: Während die App sich versteckt lässt sie den Benutzer lediglich glauben, sie sei fehlerhaft, denn im Hintergrund laufen eine Reihe von Prozessen gleichzeitig ab.

Abbildung 1: Versteckspiel der falschen App TikTok Pro

Im ersten Schritt wird eine Aktivität mit dem Namen „MainActivity“ ausgelöst, die das Symbol versteckt und die gefälschte Benachrichtigung anzeigt. Die Spyware scheint eine zusätzliche Payload unter dem Verzeichnis /res/raw/ zu speichern – was sich allerdings als Finte erweist, da in der Analyse beobachtet wurde, dass dieses Verzeichnis leer ist. Dies ist eine gängige Technik von Malware-Entwicklern, um Malware-Forscher in die Irre zu locken und somit der Entdeckung zu entgehen, könnte in diesem Fall aber auch auf unvollständigen Code hindeuten.

Ist die Spyware versteckt, startet sie einen anderen Android-Dienst namens MainService. Solche Android-Dienste sind Komponenten, die ohne Wissen des Nutzers im Hintergrund ausgeführt werden können. MainService ist sozusagen das Gehirn dieser Spyware und kontrolliert die nachgelagerten Aktivitäten angefangen beim Stehlen von Informationen des Opfers bis zum Löschen seiner Daten. MainService verfügt über folgende Fähigkeiten:

  • Ausführen von Befehlen
  • Andere Apps initiieren
  • Stehlen von SMS-Nachrichten
  • SMS-Nachrichten senden
  • Standort des Opfers auslesen
  • Fotos auslesen
  • Screenshots aufnehmen
  • Anrufe tätigen
  • Zugangsdaten von Faceboo, etc. abgreifen

Alle oben genannten Funktionen finden auf der Grundlage von Befehlen statt, die vom Angreifer über einen Command-and-Control-Server gesendet werden. Gestohlene Daten werden extern unter dem Verzeichnis /DCIM/ gespeichert in einem versteckten Unterverzeichnis namens .dat.

Die Zscaler Analyse zeigt, dass diese Spyware in einem Framework entwickelt wurde, dass ähnlich zu Spynote und Spymax ist. Möglicherweise handelt es sich auch um eine aktualisierte Version dieser Trojaner-Baukästen, die es jedermann erlauben eine umfangreiche Spyware zu erstellen.

Zusammenfassung

Aufgrund der Allgegenwart mobiler Geräte und der weit verbreiteten Nutzung von Android-Smartphones ist es für Angreifer sehr einfach, ihre Attacken erfolgreich durchzuführen – die Auswahl potentieller Opfer ist groß. Benutzer, die sich freuen, die TikTok-App trotz des drohenden Verbots weiter zu nutzen, geraten möglicherweise an hochentwickelte Schad-Software, wenn nicht die notwendige Vorsicht walten gelassen wird. Sie sollten auf diese grundlegenden Vorsichtsmaßnahmen achten:

  • Apps ausschließlich aus offiziellen Stores, wie Google Play, installieren.
  • Unbekannte Links meiden, vor allem solche, die über Anzeigen, SMS-Nachrichten, E-Mails, WhatsApp, etc. eingehen.
  • Die Option „Anwendungen aus unbekannten Quellen installieren“ sollte auf dem Android-Gerät deaktiviert bleiben. So wird die Installation von Apps, die nicht aus dem offiziellen Store stammen, verhindert.
  • Falls eine App ihr Symbol versteckt, kann in den Einstellungen des Geräts nach der Anwendung gesucht werden (unter Einstellungen im Reiter Apps). Im untersuchten Fall kann so nach der betrügerischen Anwendung TikTok Pro geforscht werden.

Mehr zum TikTok-Betrug lesen Sie hier: https://www.zscaler.com/blogs/research/tiktok-spyware