Campanha FraudOnTok espalha spyware e rouba criptomoedas em falsos TikTok Shop

Uma investigação da empresa de cibersegurança CTM360 revelou uma operação global de malware que replica a experiência da TikTok Shop para instalar o spyware SparkKitty e desviar carteiras de criptomoedas. A iniciativa, baptizada de FraudOnTok, combina sites fraudulentos, aplicações adulteradas e anúncios em redes sociais para atingir utilizadores e participantes em programas de afiliação da popular plataforma de comércio eletrónico.

Estratégia da campanha

De acordo com o relatório, foram identificadas mais de 10 000 páginas falsas que imitam domínios oficiais do TikTok, como “Shop”, “Wholesale” ou “Mall”. Paralelamente, circulam pelo menos 5 000 aplicações infectadas com o SparkKitty, distribuídas fora das lojas oficiais através de links partilhados em messengers como WhatsApp e Telegram ou promovidas em anúncios do Meta Ads.

O processo inicia-se quando a vítima descarrega uma versão não oficial do TikTok Shop. À primeira vista, a aplicação apresenta uma interface funcional e menus idênticos aos do serviço legítimo, mas, em segundo plano, o SparkKitty ativa-se assim que é aberta. Entre as funções detetadas está o acesso à galeria do dispositivo para recolher capturas de ecrã que possam conter private keys, frases de recuperação ou códigos QR associados a carteiras digitais.

Após o login com as credenciais verdadeiras, o utilizador é direcionado para produtos ou promoções fictícias com pagamento exclusivamente em criptomoeda. Quando o montante é enviado, o spyware registra as credenciais da carteira e redireciona os fundos para endereços controlados pelos atacantes. O esquema mantém-se transparente para a vítima, que acredita ter concluído uma transação legítima.

Métodos de distribuição

Os operadores do FraudOnTok recorrem a várias táticas para alcançar o alvo:

• Anúncios em redes sociais que exibem vídeos gerados por inteligência artificial a promover descontos exclusivos;
• Domínios com extensões como .top, .shop e .icu que reproduzem elementos visuais da TikTok Shop;
• Mensagens diretas a influenciadores e afiliados, oferecendo aplicações “premium” com vantagens comerciais;
• Atualizações falsas enviadas por phishing que solicitam a reinstalação do serviço.

Segundo a CTM360, a campanha apresenta um grau de coordenação elevado, articulando engenharia social, clonagem de front-ends e malware personalizado. O SparkKitty permanece ativo mesmo sem transações efectuadas, monitorizando o dispositivo à procura de dados sensíveis.

Impacto e alcance

A escala da operação, medida pelo número de domínios e aplicações comprometidas, sugere uma rede disseminada de afiliados e agentes. Embora o relatório não especifique valores desviados, especialistas apontam para perdas potencialmente significativas, dada a popularidade do TikTok Shop em mercados emergentes e entre utilizadores jovens, mais propensos a recorrer a carteiras digitais para microtransações.

O toolkit utilizado permite adaptar rapidamente o conteúdo exibido, o que dificulta a identificação do golpe por filtros automáticos. Cada domínio pode ser modificado em minutos para novas promoções ou campanhas sazonais, prolongando a vida útil do esquema.

Recomendações de segurança

Para mitigar o risco associado ao FraudOnTok, a CTM360 aconselha:

• Instalar aplicações apenas a partir das lojas oficiais do sistema operativo;
• Verificar sempre o endereço do site antes de introduzir dados de pagamento;
• Denunciar anúncios suspeitos e reportar perfis que ofereçam APKs externos;
• Utilizar carteiras digitais com proteção contra captura da Área de Transferência;
• Evitar clicar em links que prometem vantagens exclusivas ou descontos fora do aplicativo legítimo.

Caso um utilizador tenha descarregado uma aplicação duvidosa mas interrompido o processo antes de conceder permissões, o dispositivo provavelmente permanecerá seguro. Ainda assim, recomenda-se a remoção imediata do ficheiro, a execução de uma análise antimalware e a alteração das credenciais de acesso ao TikTok e à carteira afetada.

Medidas adicionais

Empresas de publicidade têm sido instadas a reforçar a verificação de campanhas que usem a marca TikTok, enquanto plataformas de hosting são alertadas para a proliferação de domínios associados ao golpe. A CTM360 disponibilizou indicadores de compromisso às entidades competentes e mantém uma monitorização permanente de novos registos que façam referência ao TikTok Shop.

Para utilizadores e criadores de conteúdo, a regra principal é desconfiar de qualquer aplicação ou serviço que ofereça vantagens fora dos canais oficiais. O eco-sistema de criptomoedas continua a ser alvo privilegiado de atacantes, e golpes que exploram marcas populares ganham visibilidade rapidamente. A adoção de práticas básicas de higiene digital continua a ser a forma mais eficaz de travar iniciativas como o FraudOnTok.

Imagem: tecmundo.com.br