Zscaler vindt spyware in TikTok Pro-app

De recente berichten over een verbod op TikTok in de VS alsook de overname, hebben ervoor gezorgd dat de appli­catie populair is onder cyber­cri­mi­nelen. Zo stuitte het Zscaler-onder­zoeks­team op een variant van de app die zichzelf voordoet als TikTok Pro, maar in werke­lijk­heid volwaar­dige spyware is met premium-functies om het slacht­offer gemak­ke­lijk te bespi­o­neren. Na instal­latie portret­teert de spyware zichzelf als TikTok met de naam TikTok Pro. Zodra een gebruiker de app probeert te openen, start deze met een nepmel­ding en al snel verdwijnt zowel de melding als het app-pictogram. Deze nepmel­dings­tac­tiek wordt gebruikt om de aandacht van de gebruiker af te leiden, terwijl de app zich verbergt, waardoor de gebruiker denkt dat de app defect is. Deze func­ti­o­na­li­teit is te zien in onder­staande afbeelding.

Achter de schermen vindt er een aantal processen tege­lij­ker­tijd plaats. Eerst wordt een acti­vi­teit met de naam Main­Ac­ti­vity gestart, waardoor het pictogram wordt verborgen en de nepmel­ding wordt weer­ge­geven. Het start ook een Android-service genaamd Main­Ser­vice. De spyware lijkt ook een extra payload te hebben opge­slagen onder de /​res/​raw/​directory. Dit is een veel­ge­bruikte techniek door malware-ontwik­ke­laars om de belang­rijkste payload in het Android-package te bundelen om eenvou­dige detectie te voorkomen.

Na analyse ontdekte Zscaler dat dit een lokmid­del­func­ti­o­na­li­teit is en dat er geen nieuwe payload wordt gege­ne­reerd. Er wordt nooit voldaan aan de voor­waarden om een extra payload te bouwen en is waar­schijn­lijk bedoeld om de malware-onder­zoe­kers in verwar­ring te brengen. Het is ook mogelijk dat deze func­ti­o­na­li­teit in ontwik­ke­ling is, waardoor deze place­holder-code onvol­ledig is.

Zodra de spyware zichzelf verbergt, start het de Android Main­Ser­vice. Android-services zijn compo­nenten die onaf­han­ke­lijk op de achter­grond kunnen worden uitge­voerd zonder medeweten van het slacht­offer. Main­Ser­vice is het brein van deze spyware en contro­leert bijna alles, van het stelen van de gegevens van het slacht­offer tot het verwij­deren ervan.

Zo heeft Main­Ser­vice de volgende mogelijkheden:

• Sms-berichten stelen
• Sms-berichten sturen
• Locatie van het slacht­offer stelen
• Foto’s maken
• Opdrachten uitvoeren
• Screenshots maken
• Tele­foon­num­mers bellen
• Andere apps starten
• Stelen van Facebook-inlog­ge­ge­vens, enzovoort

Gebrui­kers die bang zijn dat er een verbod komt op de TikTok-app, gaan mogelijk op zoek naar alter­na­tieve methoden om de app te down­lo­aden. Hierdoor kunnen ze per ongeluk kwaad­aar­dige apps instal­leren, zoals de spyware die Zscaler detecteerde.

Om besmet­ting te voorkomen, volg altijd deze voorzorgsmaatregelen:

• Instal­leer alleen apps van officiële online stores, zoals Google Play;
• Klik nooit op onbekende links die je ontvangt via adver­ten­ties, sms-berichten, e‑mails en dergelijke;
• Houd altijd de optie ‘Onbekende bronnen’ uitge­scha­keld op het Android-apparaat. Dit zorgt ervoor dat apps niet vanaf onbekende bronnen op je apparaat worden geïnstalleerd.

Mocht je een app tegen­komen die het pictogram verbergt, probeer dan de app te zoeken in je appa­raat­in­stel­lingen (ga naar Instel­lingen -> Apps -> Zoek het pictogram dat verborgen was). Zoek in het geval van deze spyware naar de app met de naam TikTok Pro.