Die aktuellen Streitigkeiten zwischen der Trump-Regierung und ByteDance als Mutterkonzern von TikTok fluten die sozialen Medien. Wenn derart populäre Apps so prominent in den Medien auftauchen, wollen Cyberkriminelle ebenfalls von der Aufmerksamkeit profitieren. Aktuell machen sich Hacker zu Nutze, dass der TikTok-App der Ausschluss aus dem Google App Store droht.
Die Sicherheitsforscher des Zscaler ThreatLabZ-Teams beobachteten jüngst eine Flut von SMS und WhatsApp-Nachrichten, durch die User aufgefordert werden, eine neue Version von TikTok herunterzuladen – mit Link. In Wirklichkeit handelt es sich bei dieser angebotenen Software jedoch um eine Fälschung, die nach Anmeldedaten und Android-Berechtigungen (einschließlich des Zugriffs auf Kamera und Telefon) fragt, um den Anwender umgehend mit Werbung zu überfluten.
Kürzlich sind die Experten auf eine weitere Variante gestoßen, die sich als TikTok Pro ausgibt. Auch dahinter steckt eine vollwertige Spyware, ausgerüstet mit hervorragend programmierten Funktionen. Sobald ein Benutzer versucht, die App zu öffnen, erscheint eine gefälschte Benachrichtigung, die bald darauf gemeinsam mit dem App-Symbol wieder vom Bildschirm verschwinden.
Diese Taktik wird verwendet, um die Aufmerksamkeit des Benutzers abzulenken: Während die App sich versteckt lässt sie den Benutzer lediglich glauben, sie sei fehlerhaft, denn im Hintergrund laufen eine Reihe von Prozessen gleichzeitig ab.
Im ersten Schritt wird eine Aktivität mit dem Namen „MainActivity“ ausgelöst, die das Symbol versteckt und die gefälschte Benachrichtigung anzeigt. Die Spyware scheint eine zusätzliche Payload unter dem Verzeichnis /res/raw/ zu speichern – was sich allerdings als Finte erweist, da in der Analyse beobachtet wurde, dass dieses Verzeichnis leer ist.
Dies ist eine gängige Technik von Malware-Entwicklern, um Malware-Forscher in die Irre zu locken und somit der Entdeckung zu entgehen, könnte in diesem Fall aber auch auf unvollständigen Code hindeuten.
Ist die Spyware versteckt, startet sie einen anderen Android-Dienst namens MainService. Solche Android-Dienste sind Komponenten, die ohne Wissen des Nutzers im Hintergrund ausgeführt werden können. MainService ist sozusagen das Gehirn dieser Spyware und kontrolliert die nachgelagerten Aktivitäten angefangen beim Stehlen von Informationen des Opfers bis zum Löschen seiner Daten.
MainService verfügt über folgende Fähigkeiten:
- Ausführen von Befehlen
- Andere Apps initiieren
- Stehlen von SMS-Nachrichten
- SMS-Nachrichten senden
- Standort des Opfers auslesen
- Fotos auslesen
- Screenshots aufnehmen
- Anrufe tätigen
- Zugangsdaten von Facebook, etc. abgreifen
Die Zscaler Analyse zeigt, dass diese Spyware in einem Framework entwickelt wurde, dass ähnlich zu Spynote und Spymax ist. Möglicherweise handelt es sich auch um eine aktualisierte Version dieser Trojaner-Baukästen, die es jedermann erlauben eine umfangreiche Spyware zu erstellen.