A empresa de cibersegurança CTM360 identificou uma nova campanha de malware global que dissemina o spyware SparkKitty. Batizada de “FraudOnTok”, a operação utiliza páginas de compras fraudulentas para distribuir malware e roubar carteiras de criptomoedas de vítimas desavisadas.
Segundo o CTM360, trata-se de uma ação altamente coordenada, que combina técnicas de phishing com malware para enganar usuários e participantes de programas de afiliação na plataforma de e-commerce do TikTok.
Como funciona o FraudOnTok?
A campanha acontece em várias etapas:
- O usuário instala uma versão maliciosa do TikTok Shop que contém o spyware SparkKitty;
- Dentro do app, páginas falsas imitam o TikTok, incluindo links para TikTok Shop, TikTok Wholesale e TikTok Mall;
- O usuário é convencido a fazer login com sua conta oficial e realizar compras com pagamento via criptomoedas;
- Após o pagamento, o spyware coleta credenciais das carteiras digitais e viabiliza o roubo dos fundos.
O SparkKitty já está ativo mesmo antes do pagamento: ele acessa a galeria do celular e extrai capturas de tela que possam conter dados sensíveis.
Mais de 10 mil templates de URLs falsas do TikTok foram identificados como parte da campanha FraudOnTok. Além disso, há mais de 5 mil apps maliciosos infectados com o malware SparkKitty espalhados pela web.
Como o SparkKitty é distribuído?
O app infectado é oferecido em páginas falsas que simulam a experiência da plataforma ou por meio de contato direto em mensageiros (WhatsApp e Telegram). Os sites, acessados por meio de anúncios em redes como o Meta Ads, utilizam vídeos gerados por inteligência artificial para atrair vítimas. Ao clicar nos anúncios, o usuário é redirecionado a domínios suspeitos com terminações como .top, .shop e .icu.
Embora pareça funcional, o aplicativo é apenas uma cópia do TikTok Shop com o spyware SparkKitty rodando em segundo plano para coletar dados do usuário.
Como se proteger do FraudOnTok?
O CTM360 recomenda algumas medidas para se prevenir:
- Evite instalar apps modificados que prometem vantagens exclusivas;
- Não baixe aplicativos de fontes não oficiais, como Telegram ou sites de torrent;
- Confira sempre o domínio antes de informar dados de pagamento;
- Denuncie anúncios suspeitos;
- Use carteiras digitais com proteção contra captura de dados da Área de Transferência.
Se você acessou um site suspeito, mas interrompeu sua navegação assim que desconfiou de alguma coisa, não se preocupe: provavelmente, o seu dispositivo não foi infectado. De toda forma, evite sempre acessar sites alternativos e, caso se interesse em algum anúncio online, tente encontrá-lo manualmente no site oficial usando algum buscador.
Você pode conferir o relatório completo da CTM360 no site oficial.
Golpes digitais estão cada vez mais sofisticados e exploram até os serviços mais populares. Para se manter seguro, acompanhe o TecMundo e fique por dentro das principais ameaças e dicas de proteção no mundo da tecnologia.
