Negli ultimi tempi il panorama della sicurezza informatica è stato scosso da una massiccia campagna malevola che prende di mira gli utenti di TikTok Shop a livello globale, con l’obiettivo di rubare credenziali e diffondere app infette da malware. I cybercriminali stanno sfruttando la piattaforma e-commerce interna all’app attraverso una strategia che unisce tecniche di phishing e distribuzione di malware, creando così un attacco sofisticato e multicanale.

Il cuore della truffa: FraudOnTok

Il cuore della truffa, nota come FraudOnTok, si basa sulla creazione di oltre 15.000 domini falsi che imitano gli indirizzi ufficiali di TikTok Shop. Questi domini sono ospitati principalmente su estensioni come .top, .shop e .icu e vengono utilizzati per ingannare gli utenti, spingendoli su pagine di phishing o convincendoli a scaricare applicazioni trojanizzate. Un aspetto particolarmente insidioso della campagna è l’uso di video generati tramite intelligenza artificiale che simulano influencer reali o ambasciatori di brand, diffusi tramite annunci pubblicitari su Meta e TikTok per dare credibilità alle offerte fraudolente.

Funzionamento dei siti fasulli

I siti fasulli non solo sottraggono credenziali tramite login contraffatti, ma invitano anche gli utenti a depositare criptovalute su store fake, promettendo prodotti scontati o ricompense in denaro che non verranno mai erogate. Sono stati individuati almeno 5.000 URL progettati per far scaricare un’app malevola che si presenta come TikTok Shop, ma che in realtà distribuisce una variante del malware SparkKitty. Questo malware, compatibile sia con Android che con iOS, è in grado di raccogliere dati sensibili dai dispositivi, tra cui credenziali di accesso e seed phrase dei wallet crypto, analizzando persino gli screenshot presenti nella galleria fotografica tramite tecniche OCR.

Modalità di attacco dell’app malevola

Una volta installata, l’app malevola induce la vittima a inserire più volte le proprie credenziali, per poi suggerire un accesso tramite Google e sfruttare i token di sessione generati dall’autenticazione OAuth. In questo modo, gli hacker possono aggirare i controlli di sicurezza tradizionali e ottenere accesso non autorizzato senza necessità di confermare l’email.

Altre campagne di phishing emergenti

Oltre a questa campagna, sono emerse anche altre operazioni di phishing che sfruttano Google Ads e link mascherati per colpire utenti di servizi bancari online e piattaforme come Meta Business Suite. Questi attacchi sono sempre più sofisticati, sfruttando anche l’intelligenza artificiale per aumentare la credibilità delle truffe e rendere più difficile l’individuazione da parte delle vittime e degli strumenti automatici di protezione.