恶意广告软件通过伪造的TikTok应用传播

安全研究人员警告说，犯罪分子通过使用伪装成TikTok的恶意Android应用程序和虚假的笔记本电脑的广告信息来针对印度的Jio电信网络进行攻击。

来自Zscaler的研究人员报告说，这个威胁行为者自2020年3月以来就一直在进行各种网络钓鱼诈骗活动，都是在利用最近的头条新闻作为诱饵进行攻击。

报告发现，他们最近通过使用社会工程学攻击尝试使用户下载他们伪造的虚假TikTok应用程序，宣称这个在印度被禁止的应用程序现在还可以继续使用。另一个诈骗方式则是欺骗受害者，让他们以为自己有资格获得由印度政府提供的免费的联想笔记本电脑。

针对JIO的用户进行攻击

Zscaler CISO的Deepen Desai告诉Threatpost：”犯罪分子所使用的恶意软件有一些共同的特征，这在其他犯罪团伙中也是很常见的。例如，它使用了常见的持久性控制的方法，利用受害者的联系人信息进行大范围传播，攻击活动的针对性非常强，并且利用Weebly和GitHub等资源平台向受害者传播恶意信息。”

目标明确而且范围很广泛。Jio电信公司为印度一半以上的互联网用户提供服务，根据印度电信管理局2020年3月的报告，印度互联网用户超过7.43亿人。

他补充说，Zscaler团队观察到有200多个恶意Android应用，他们都使用了”与印度时事相关的主题”进行攻击。

报告显示，威胁行为者向使用Jio网络的用户发送短信或WhatsApp消息，并附上钓鱼信息和虚假的商品链接对其进行攻击。该报告解释说，链接会引导用户到一个由网络犯罪分子控制的Weebly托管的网站。

“我们在Zscaler云中观察到在原始下载请求中，用户代理的字符串是” WhatsApp/2.21.4.22”。根据分析，这些信息可以表明，该链接是由用户在WhatsApp消息中点击的”。

报告还补充了更多其他的URL例子。

网站：https://tiktokplus[.]weebly.com/。

缩短链接：http://tiny[.]cc/Tiktok_pro。

网址：https://tiktokplus[.]weebly.com/。

GitHub下载链接: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk

一旦用户进入到了恶意网站，攻击者就会试图让用户下载一个Android包(APK)文件。

报道称，在以Lenovo为主题的攻击中，APK会调用datalaile.class，首先检查是否有权限，如果没有，就会显示一条消息，说：”需要权限才能启动该应用程序!”。一旦用户授予了该权限，就会显示一个表单要求用户输入账号和密码。

攻击链条的下一步是攻击者会尽可能广泛地传播恶意软件。在TikTok攻击例子中，恶意软件会提示受害者在WhatsApp上分享恶意链接10次。

研究人员说：”该恶意程序不会检查用户是否安装了WhatsApp，在WhatsApp没有安装的情况下，会显示一条Toast消息，内容为’WhatsApp没有安装’。”

一旦消息被分享给了其他10人，就会显示出祝贺的信息，点击后会调用clickendra.class文件，该class会显示广告，最后显示提示信息”TikTok将在1小时后启动 “。

Ad-Stuffer恶意软件

报告说：”网络攻击者会使用这些应用程序向用户显示中间广告来获得收入，软件中有两个软件开发工具包(SDK)可以达到这个目的。通过使用故障切换机制，如果它使用的一个SDK检索广告失败，那么它就会使用下一个SDK。”

他们补充说，在应用程序中观察到的两个SDK是AppLovin和StartApp。

报告补充道：”在显示广告之前，软件就会为用户创建一个虚假的视图，其中就包含了一个假的文本信息和顶部虚假的进度条，在设置了视图后，会发送一个获取广告的请求。如果成功接收到了广告，那么就会显示广告并隐藏那个虚假的进度条，否则就会发送加载下一个广告的请求。”

Zscaler团队观察到，如果广告加载失败，恶意软件会调用lastactivity.class向受害者显示一条信息，要求他们 “点击广告并继续安装应用”。报告说：”它改变了内容视图结构，会再次初始化StartApp SDK，像之前一样创建一个虚假的进度条，如果收到了发来的广告，那么它就会显示给用户。”

恶意软件传播者

研究人员表示，用于传播该恶意程序的代码是felavo.class，它执行了两个关键的功能。初始化应用程序和通过短信传播恶意链接，短信只会发送给其他Jio客户。

报告解释说：”用于传播应用程序的诱饵信息被加密存储，在初始化阶段，服务配置了加密的内容，可以用于以后解密诱饵信息。”

研究团队发现，该恶意软件可以获取用户的联系人列表，通过查看联系人列表来寻找其他属于Jio运营商的号码。

Zscaler表示，它将会继续监控威胁行为者，用户也需要意识到这些攻击威胁是会一直存在的，需要采取更多的预防措施来保护自己。

他建议：”在下载任何应用程序时，都要使用可信的合法的应用商店来下载，不要从未经验证的链接中下载应用程序，即使它们来自你所信任的联系人。”

本文翻译自：https://threatpost.com/adware-tiktok-laptop-offers/165318/如若转载，请注明原文地址。