Iamprovider

CTM360 identifica campanha maliciosa 'FraudOnTok' que mira usuários do TikTok Shop

CTM360 identifica campanha maliciosa 'FraudOnTok' que mira usuários do TikTok Shop

Desmascarando a Campanha FraudOnTok

A empresa de cibersegurança CTM360 revelou uma ameaça global altamente coordenada chamada "FraudOnTok", uma campanha que utiliza o apelo comercial do TikTok para implantar o spyware SparkKitty. Criando uma ilusão perfeita de legitimidade por meio de lojas falsas e promoções geradas por IA, os atacantes fazem phishing por credenciais e instalam silenciosamente malware nos dispositivos de usuários desavisados. Essa abordagem híbrida marca uma evolução perigosa nos golpes de comércio social, misturando engano digital com roubo financeiro em escala industrial.

A sofisticação da operação está em sua estratégia de ataque de duplo vetor, mirando tanto os compradores quanto os vendedores afiliados da plataforma. Pesquisadores identificaram uma vasta infraestrutura com mais de 15.000 domínios semelhantes projetados para imitar URLs oficiais do TikTok Shop, como variações usando extensões .top ou .shop. Estes não são sites simples copiados; são portais mantidos profissionalmente que hospedam fluxos de login falsos, vitrines fraudulentas com descontos "bons demais para ser verdade" e prompts para baixar aplicativos trojanizados, tudo canalizando as vítimas para exfiltração de dados ou pagamentos irreversíveis em criptomoedas.

A Infraestrutura Enganosa: Domínios Semelhantes e Aplicativos Falsos

No centro do FraudOnTok está uma rede massiva de sósias digitais. Os agentes da ameaça registraram milhares de domínios que se assemelham habilmente a serviços legítimos de comércio do TikTok—pense em "tikshop-gifts" ou "tiktok-bonus"—para passar por uma olhada superficial. Esses sites são mais do que simples páginas de phishing; são réplicas completas da experiência do TikTok Shop, com listagens de produtos, carrinhos de compras e painéis de afiliados. O objetivo é criar uma falsa sensação de segurança, incentivando os usuários a inserir dados de login ou informações de pagamento sem pensar duas vezes.

Além da web, a campanha promove aplicativos móveis falsificados. Esses aplicativos "TikTok Shop" trojanizados são frequentemente distribuídos via códigos QR em anúncios ou links em plataformas de mensagens criptografadas como o Telegram. Uma vez instalados, eles espelham perfeitamente a interface do aplicativo oficial, mas estão embutidos com a carga útil do SparkKitty. Essa abordagem multi-superfície garante que, esteja a vítima em um navegador ou dispositivo móvel, a armadilha está armada, ampliando significativamente o alcance e a eficácia do ataque.

Como os Aplicativos Falsos Operam

Os aplicativos maliciosos empregam engenharia social inteligente em seu código. Por exemplo, eles podem deliberadamente falhar em uma tentativa de login baseada em e-mail, forçando o usuário a autenticar-se via um fluxo OAuth do Google. Essa tática provavelmente visa sequestrar tokens de sessão e contornar verificações de segurança tradicionais. Uma vez dentro, se o usuário navegar para uma seção da loja, ele é apresentado a outra tela de login falsa, criando um loop que coleta credenciais enquanto o malware SparkKitty trabalha em segundo plano para extrair dados do dispositivo.

Spyware SparkKitty: Um Ladrão de Dados Silencioso

SparkKitty é o motor do roubo nesta campanha, uma variante de spyware multiplataforma relacionada ao SparkCat, documentado anteriormente. Uma vez infiltrado em um dispositivo—seja Android ou iOS—ele opera com uma discrição alarmante. Suas capacidades vão além de simples keylogging; ele realiza fingerprinting do dispositivo, monitora o conteúdo da área de transferência para senhas copiadas ou endereços de criptomoedas, e usa reconhecimento óptico de caracteres (OCR) para escanear a galeria de fotos do usuário em busca de capturas de tela contendo frases de recuperação de carteiras de criptomoedas ou chaves privadas.

Esses dados são então exfiltrados para servidores controlados pelos atacantes, frequentemente via bots do Telegram, permitindo acesso em tempo real aos ativos digitais das vítimas. A capacidade do spyware de ler imagens o torna particularmente insidioso, pois os usuários podem armazenar inadvertidamente informações financeiras sensíveis em suas galerias. Ao combinar o roubo de credenciais com a drenagem direta de carteiras, o FraudOnTok maximiza o dano financeiro, deixando as vítimas bloqueadas de suas contas e com saldos de criptomoedas esvaziados.

Engenharia Social em Escala: IA e Anúncios Pagos

A máquina de distribuição do FraudOnTok é implacavelmente eficiente, aproveitando táticas modernas de marketing para fins maliciosos. Os atacantes usam vídeos gerados por IA que imitam influenciadores reais do TikTok ou embaixadores de marca, promovendo vendas relâmpago falsas ou oportunidades exclusivas de afiliados. Esses vídeos são impulsionados por anúncios pagos em plataformas como a Meta (Facebook) e até mesmo dentro do próprio TikTok, emprestando uma aura de legitimidade que contorna o ceticismo inicial do usuário.

O tráfego é então canalizado por uma estratégia de múltiplas frentes: de anúncios para domínios semelhantes e, frequentemente, para canais privados no WhatsApp ou Telegram. Essa tática de "mover para o chat" aumenta a urgência por meio de diálogos um-a-um, onde os golpistas aplicam táticas de pressão para induzir ações arriscadas, como baixar um aplicativo ou fazer um pagamento em criptomoeda. Todo o processo é projetado para baixar as defesas incrementalmente, explorando a confiança nos ecossistemas de mídia social para facilitar a fraude.

O Papel da Mensageria Criptografada

Mudar as conversas para o Telegram ou WhatsApp serve a um duplo propósito: intensifica a persuasão por meio da coerção personalizada e coloca as interações fora dos mecanismos de denúncia e aplicação das plataformas convencionais. Aqui, as vítimas podem ser informadas de que sua "conta está em risco" ou que um "bônus por tempo limitado" requer ação imediata, criando uma falsa crise que anula a cautela lógica.

O Motor Financeiro: Criptomoedas e Monetização

O modelo de monetização do FraudOnTok é deliberadamente construído sobre transações irreversíveis. Ao contrário dos pagamentos tradicionais com cartão que oferecem opções de chargeback, esta campanha exclusivamente incentiva pagamentos em criptomoedas—frequentemente em USDT, ETH ou outros ativos digitais. As vítimas que compram em vitrines falsas são direcionadas para checkouts exclusivos em cripto, enquanto os vendedores afiliados são persuadidos a "recarregar" carteiras falsas com promessas de comissões aprimoradas ou bônus de saque que nunca se materializam.

O sifão financeiro não para por aí. Credenciais roubadas permitem a tomada de contas, onde contas do TikTok Shop ou de anúncios sequestradas são revendidas ou abusadas para mais golpes, ampliando o raio de impacto. Isso cria um fluxo de receita em camadas: roubo direto de criptomoedas de carteiras, revenda de contas comprometidas e potencial fraude em anúncios. O foco em criptomoedas não apenas dificulta o rastreamento de fundos, mas também se alinha com o objetivo dos atacantes de obter ganhos financeiros rápidos e rastreáveis.

Defesas Práticas para Usuários e Marcas

Combater uma campanha tão sofisticada requer passos concretos e acionáveis, em vez de avisos vagos. Para usuários individuais, a primeira linha de defesa é a vigilância: sempre verifique os nomes de domínio manualmente, procurando erros de ortografia ou extensões incomuns como .icu. Nunca baixe aplicativos de fontes de terceiros ou instale APKs sideload de códigos QR; use apenas lojas de aplicativos oficiais. Ative a autenticação de dois fatores (2FA) forte, com suporte de hardware, ou use passkeys para logins em plataformas, e utilize um gerenciador de senhas para evitar a reutilização de credenciais.

Para marcas e vendedores que operam no TikTok Shop, o monitoramento proativo é fundamental. Implemente serviços de proteção de risco digital para escanear a falsificação da marca em domínios e mídias sociais. Configure alertas para atividades anômalas na conta, como alterações súbitas nos métodos de pagamento ou adições de novos administradores de locais desconhecidos. Além disso, colabore com as plataformas para apertar as políticas de revisão de anúncios relacionadas a palavras-chave de comércio, ajudando a conter a distribuição paga de conteúdo fraudulento.

Olhando para o Futuro: Lições para a Segurança do Comércio Digital

A campanha FraudOnTok é um lembrete severo de que, à medida que o comércio social cresce, sua atratividade para cibercriminosos também aumenta. Esta operação destaca a crescente convergência de phishing, entrega de malware e engenharia social impulsionada por IA—uma mistura que pode ser facilmente reutilizada contra outras plataformas. Para a comunidade de segurança, isso ressalta a necessidade de compartilhamento de inteligência de ameaças em tempo real e mecanismos de autenticação mais robustos, especialmente em ecossistemas de aplicativos onde downloads de terceiros representam riscos.

Em última análise, manter-se seguro nesta paisagem exige uma mudança de mentalidade: trate ofertas online boas demais para ser verdade com extremo ceticismo e priorize a higiene de segurança como parte da experiência de compra. Ao entender as táticas por trás de ameaças como o FraudOnTok, usuários e empresas podem construir defesas mais resilientes, garantindo que a inovação no e-commerce não seja minada por aqueles que buscam explorar sua confiança. A escala da campanha pode ser vasta, mas com vigilância informada, seu impacto pode ser contido.