Iamprovider

CTM360 detecta la campaña maliciosa 'FraudOnTok' que ataca a usuarios de TikTok Shop

CTM360 detecta la campaña maliciosa 'FraudOnTok' que ataca a usuarios de TikTok Shop

Desenmascarando la campaña FraudOnTok

La firma de ciberseguridad CTM360 ha revelado una amenaza global altamente coordinada denominada "FraudOnTok", una campaña que utiliza el atractivo comercial de TikTok para desplegar el spyware SparkKitty. Al crear una ilusión perfecta de legitimidad a través de tiendas falsas y promociones generadas por IA, los atacantes buscan credenciales e instalan silenciosamente malware en los dispositivos de usuarios desprevenidos. Este enfoque híbrido marca una peligrosa evolución en las estafas de comercio social, combinando el engaño digital con el robo financiero a escala industrial.

La sofisticación de la operación radica en su estrategia de ataque de doble vector, dirigida tanto a los compradores de la plataforma como a sus vendedores afiliados. Los investigadores han identificado una vasta infraestructura de más de 15.000 dominios similares diseñados para imitar las URL oficiales de TikTok Shop, como variaciones que utilizan extensiones .top o .shop. Estos no son simples sitios copia; son portales mantenidos profesionalmente que albergan flujos de inicio de sesión falsos, escaparates fraudulentos con descuentos "demasiado buenos para ser verdad" y avisos para descargar aplicaciones troyanizadas, canalizando a las víctimas hacia la exfiltración de datos o pagos irreversibles en criptomonedas.

La infraestructura engañosa: dominios similares y aplicaciones falsas

En el corazón de FraudOnTok hay una red masiva de dobles digitales. Los actores de amenazas han registrado miles de dominios que se asemejan hábilmente a los servicios legítimos de comercio de TikTok—piensa en "tikshop-gifts" o "tiktok-bonus"—para pasar una mirada superficial. Estos sitios son más que simples páginas de phishing; son réplicas completas de la experiencia de TikTok Shop, con listados de productos, carritos de compra y paneles de afiliados. El objetivo es crear una falsa sensación de seguridad, animando a los usuarios a introducir datos de inicio de sesión o información de pago sin pensarlo dos veces.

Más allá de la web, la campaña promueve aplicaciones móviles falsificadas. Estas aplicaciones "TikTok Shop" troyanizadas a menudo se distribuyen mediante códigos QR en anuncios o enlaces en plataformas de mensajería cifrada como Telegram. Una vez instaladas, reflejan perfectamente la interfaz de la aplicación oficial, pero están incrustadas con la carga útil de SparkKitty. Este enfoque multisuperficie garantiza que, ya sea que una víctima esté en un navegador o en un dispositivo móvil, la trampa está puesta, ampliando significativamente el alcance y la efectividad del ataque.

Cómo operan las aplicaciones falsas

Las aplicaciones maliciosas emplean ingeniería social inteligente en su código. Por ejemplo, pueden fallar deliberadamente un intento de inicio de sesión basado en correo electrónico, empujando al usuario a autenticarse mediante un flujo de OAuth de Google. Esta táctica probablemente busca secuestrar tokens de sesión y eludir las comprobaciones de seguridad tradicionales. Una vez dentro, si el usuario navega a una sección de tienda, se le presenta otra pantalla de inicio de sesión falsa, creando un bucle que recopila credenciales mientras el malware SparkKitty trabaja en segundo plano para extraer datos del dispositivo.

Spyware SparkKitty: un ladrón de datos silencioso

SparkKitty es el motor del robo en esta campaña, una variante de spyware multiplataforma relacionada con el SparkCat documentado previamente. Una vez que se infiltra en un dispositivo—ya sea Android o iOS—opera con una sigilosidad alarmante. Sus capacidades van más allá del simple registro de pulsaciones; realiza huellas digitales del dispositivo, monitorea el contenido del portapapeles en busca de contraseñas copiadas o direcciones de criptomonedas, y utiliza reconocimiento óptico de caracteres (OCR) para escanear la galería de fotos del usuario en busca de capturas de pantalla que contengan frases semilla de carteras de criptomonedas o claves privadas.

Estos datos luego se exfiltran a servidores controlados por los atacantes, a menudo a través de bots de Telegram, permitiendo el acceso en tiempo real a los activos digitales de las víctimas. La capacidad del spyware para leer imágenes lo hace particularmente insidioso, ya que los usuarios podrían almacenar sin saberlo información financiera sensible en sus galerías. Al combinar el robo de credenciales con el drenaje directo de carteras, FraudOnTok maximiza el daño financiero, dejando a las víctimas bloqueadas de sus cuentas y con sus tenencias de criptomonedas vaciadas.

Ingeniería social a escala: IA y anuncios pagados

La maquinaria de distribución de FraudOnTok es despiadadamente eficiente, aprovechando tácticas de marketing modernas para fines maliciosos. Los atacantes utilizan videos generados por IA que imitan a influencers reales de TikTok o embajadores de marca, promocionando ventas flash falsas u oportunidades de afiliación exclusivas. Estos videos se impulsan mediante anuncios pagados en plataformas como Meta (Facebook) e incluso dentro del propio TikTok, otorgando un aire de legitimidad que elude el escepticismo inicial del usuario.

El tráfico luego se canaliza a través de una estrategia de múltiples frentes: desde anuncios a dominios similares y, a menudo, hacia canales privados en WhatsApp o Telegram. Esta táctica de "mover al chat" aumenta la urgencia a través de diálogos uno a uno, donde los estafadores aplican tácticas de presión para impulsar acciones riesgosas, como descargar una aplicación o realizar un pago en criptomonedas. Todo el proceso está diseñado para reducir las defensas de manera incremental, explotando la confianza en los ecosistemas de redes sociales para facilitar el fraude.

El papel de la mensajería cifrada

Trasladar las conversaciones a Telegram o WhatsApp cumple un doble propósito: intensifica la persuasión mediante la coerción personalizada y coloca las interacciones fuera de los mecanismos de denuncia y aplicación de las plataformas principales. Aquí, se les puede decir a las víctimas que su "cuenta está en riesgo" o que un "bono por tiempo limitado" requiere acción inmediata, creando una falsa crisis que anula la precaución lógica.

El motor financiero: criptomonedas y monetización

El modelo de monetización de FraudOnTok está deliberadamente construido sobre transacciones irreversibles. A diferencia de los pagos con tarjeta tradicionales que ofrecen opciones de contracargo, esta campaña impulsa exclusivamente pagos con criptomonedas—a menudo en USDT, ETH u otros activos digitales. Las víctimas que compran en escaparates falsos son dirigidas a cajas de pago solo en criptomonedas, mientras que los vendedores afiliados son persuadidos para "recargar" carteras falsas con promesas de comisiones mejoradas o bonos de retiro que nunca se materializan.

El sifón financiero no se detiene ahí. Las credenciales robadas permiten la toma de cuentas, donde las cuentas secuestradas de TikTok Shop o de anuncios se revenden o abusan para más estafas, amplificando el radio de impacto. Esto crea un flujo de ingresos en capas: robo directo de criptomonedas de carteras, reventa de cuentas comprometidas y posible fraude publicitario. El enfoque en las criptomonedas no solo dificulta el rastreo de fondos, sino que también se alinea con el objetivo de los atacantes de obtener ganancias financieras rápidas e imposibles de rastrear.

Defensas prácticas para usuarios y marcas

Combatir una campaña tan sofisticada requiere pasos concretos y accionables en lugar de advertencias vagas. Para los usuarios individuales, la primera línea de defensa es la vigilancia: siempre verifique los nombres de dominio manualmente, buscando errores ortográficos o extensiones inusuales como .icu. Nunca descargue aplicaciones de fuentes de terceros o instale APKs desde códigos QR; utilice solo las tiendas de aplicaciones oficiales. Habilite una autenticación de dos factores (2FA) fuerte, respaldada por hardware, o use claves de acceso para los inicios de sesión en plataformas, y emplee un gestor de contraseñas para evitar la reutilización de credenciales.

Para las marcas y vendedores que operan en TikTok Shop, el monitoreo proactivo es clave. Implemente servicios de protección de riesgos digitales para escanear la suplantación de marca en dominios y redes sociales. Configure alertas para actividad anómala en las cuentas, como cambios repentinos en los métodos de pago o adiciones de nuevos administradores desde ubicaciones desconocidas. Además, colabore con las plataformas para endurecer las políticas de revisión de anuncios relacionadas con palabras clave de comercio, ayudando a frenar la distribución pagada de contenido fraudulento.

Mirando hacia adelante: lecciones para la seguridad del comercio digital

La campaña FraudOnTok es un recordatorio contundente de que a medida que crece el comercio social, también lo hace su atractivo para los ciberdelincuentes. Esta operación destaca la creciente convergencia del phishing, la entrega de malware y la ingeniería social impulsada por IA—una mezcla que puede reutilizarse fácilmente contra otras plataformas. Para la comunidad de seguridad, subraya la necesidad de compartir inteligencia de amenazas en tiempo real y de mecanismos de autenticación más robustos, especialmente en ecosistemas de aplicaciones donde las descargas de terceros plantean riesgos.

En última instancia, mantenerse seguro en este panorama exige un cambio de mentalidad: trate las ofertas en línea demasiado buenas para ser verdad con extremo escepticismo y priorice la higiene de seguridad como parte de la experiencia de compra. Al comprender las tácticas detrás de amenazas como FraudOnTok, usuarios y empresas pueden construir defensas más resilientes, asegurando que la innovación en el comercio electrónico no sea socavada por quienes buscan explotar su confianza. La escala de la campaña puede ser vasta, pero con una vigilancia informada, su impacto puede contenerse.