06/08/25
Обнаруженная компанией CTM360, атака сочетает фишинг с вредоносными приложениями, чтобы красть криптовалютные кошельки и опустошать счета своих жертв. Об этом пишет Securitylab.
ClickTok представляет собой слаженную схему обмана, маскирующуюся под торговую платформу TikTok Shop. Злоумышленники создают сайты, внешне идентичные настоящим страницам TikTok — таким как TikTok Shop, TikTok Wholesale и TikTok Mall. Через них пользователи приглашаются к покупкам, регистрации в партнёрской программе или пополнению баланса. Однако при оформлении заказов потенциальные жертвы сталкиваются с требованием оплатить товары через криптовалюту, минуя традиционные способы оплаты.
В момент оплаты или установки поддельного приложения начинается заражение устройства. Вредоносная программа SparkKitty, модификация ранее известных троянов семейства SparkCat, получает доступ к хранилищу изображений на устройстве, включая скриншоты и фотографии. Это позволяет ей извлекать данные криптовалютных кошельков, зафиксированные на экране. Одновременно происходит незаметная кража учётных данных, номеров кошельков и других чувствительных данных.
Особенностью атаки является её гибридная архитектура. С одной стороны, используются поддельные сайты с реалистичными доменами вроде .top, .shop и .icu, распространяемые через рекламу в сервисах Meta* и фальшивые AI-видео. Эти ресурсы собирают логины, пароли и данные платёжных систем. С другой стороны, жертвам предлагается скачать поддельное приложение TikTok, которое внешне ничем не отличается от оригинального, но на деле ведёт скрытую слежку за действиями пользователя, мониторит буфер обмена и снимает информацию с экрана.
CTM360 сообщает, что в ходе кампании было задействовано более 10 тысяч фейковых сайтов и свыше 5 тысяч вредоносных сборок приложений. Их распространение происходит через QR-коды, мессенджеры и встроенные ссылки в рекламе. Кампания нацелена как на покупателей, так и на участников партнёрских программ TikTok, обещая бонусы, кэшбэк или выгодные предложения.
Целью атакующих является полный захват контроля над цифровыми активами жертвы. Вместо привычных платёжных систем используется ввод данных криптокошельков напрямую — зачастую через фальшивую страницу пополнения баланса. Пользователя убеждают внести средства в «TikTok-кошелёк» в USDT, ETH или других валютах. После чего деньги бесследно исчезают, а доступ к учётной записи может быть полностью перехвачен.
Для защиты от подобных угроз специалисты рекомендуют избегать установки модифицированных или сомнительных приложений, особенно через Telegram и торренты.
