TikTok app icoontje op een smartphone met daarnaast witte oordopjes

Spyware vermomd als TikTok Pro in omloop

Laatst bijgewerkt: 11 september 2020
Leestijd: 4 minuten, 29 seconden

Onderzoekers hebben nieuwe Android spyware ontdekt die zich voordoet als de populaire app TikTok. Onder de noemer TikTok Pro proberen de hackers nietsvermoedende slachtoffers te verleiden om de app te installeren. Als hij eenmaal op hun smartphone staat, neemt de app verschillende basisfuncties over en stuurt hij ongevraagd informatie en bestanden door naar een command & control server.

Shivang Desai, een senior beveiligingsspecialist bij Zscaler, beschrijft uitgebreid in een blog wat de app voor schade aanricht.

TikTok is razendpopulair, maar een Amerikaans verbod dreigt

Met meer dan 800 miljoen gebruikers wereldwijd, is TikTok een immens populaire app. De applicatie ligt al geruime tijd onder vuur in de VS. Volgens president Trump verzamelt de app stiekem persoonlijke informatie van gebruikers en stuurt deze door naar China, waar deze data in handen komt van de Chinese Communistische Partij en het leger. Om die reden vormt de app in zijn ogen een gevaar voor de nationale veiligheid.

Via een decreet heeft de president moederbedrijf ByteDance voor de keuze gesteld: of TikTok wordt overgenomen door een Amerikaans bedrijf, of de app wordt verboden in de VS. Diverse bedrijven, waaronder Microsoft, Oracle, Twitter en Walmart, hebben interesse getoond. Enerzijds horen we dat de onderhandelingen zich in de afsluitende fase bevinden, anderzijds dat ze traag verlopen.

De deadline om een nieuwe koper te vinden verloopt over een aantal weken. Trump heeft duidelijk gemaakt dat hij niet van plan is om de deadline te verschuiven, zoals hij eerder wel deed. Door nieuwe exportregels van China is de kans zeer klein dat er voor die datum een overeenkomst wordt bereikt. Daarin staat dat de Chinese overheid goedkeuring moet geven voor de verkoop van een Chinees bedrijf aan een buitenlands bedrijf.

‘TikTok Pro is volwaardig ontwikkelde spyware’

Op het moment dat een app niet langer verkrijgbaar is via de Play Store, proberen gebruikers deze op een alternatieve manier te vinden. Daarvoor komen ze op soms dubieuze websites terecht die het installatiebestand aanbieden. Of dat althans claimen. Door apps buiten de applicatiewinkel te installeren, lopen mensen het risico dat ze een malafide app of PHA (Potentially Harmful Application) binnenhalen.

Shivang Desai schrijft dat er de laatste tijd sms- en WhatsApp-berichten de ronde gaan met daarin een link waar men zogenaamd TikTok Pro kan downloaden. In werkelijkheid was het een nepapplicatie die gebruikers bestookt met advertenties. Onlangs heeft Desai een variant van deze app ontdekt, een die stuk schadelijker is. Volgens de beveiligingsonderzoeker is het een app met “volwaardig ontwikkelde spyware met premium features om slachtoffers te bespioneren”.

TikTok Pro verzamelt gegevens en stuurt deze door

Als je TikTok Pro installeert, lijkt er op het eerste oog niets aan de hand. Op het moment dat je de app probeert te openen, dan gaat het mis. Als je op het app-icoontje drukt, verschijnt er een venster in beeld. Volgens Desai is deze bedoeld om de aandacht van de gebruiker af te leiden. Vervolgens verdwijnt het venster, evenals het app-icoontje.

Op de achtergrond worden er nu allerlei processen naast elkaar uitgevoerd. Eerst voert TikTok Pro een activiteit uit die MainActivity heet in de broncode. Deze zorgt ervoor dat de app van het scherm verdwijnt. Daarna wordt het commando MainService uitgevoerd. Dat is, in de woorden van Desai, het ‘brein’ van de spyware en voert de geprogrammeerde taken uit. Uit bestudering van de broncode blijkt dat het onder meer gaat om het stelen en verzenden van sms-berichten, achterhalen van je locatie, foto’s en screenshots maken en doorsturen, telefoonnummers bellen, je telefoongeschiedenis verzamelen, andere apps installeren en opstarten, inloggegevens van je Facebook account stelen, en nog veel meer. Al deze data wordt opgestuurd naar een command & control server. Van daaruit kunnen de daders ook opdrachten verstrekken, bijvoorbeeld om naar een peperduur telefoonnummer te bellen.

Desai benadrukt dat TikTok Pro phishing kan toepassen om de inloggegevens van andere diensten buit te maken, zoals van je bankrekening. Bij phishing proberen hackers je inlog- en identiteitsgegevens te stelen om te verkopen, of zelf misbruik van te maken. Afgezien van het stelen van de gebruikersnaam en wachtwoord voor Facebook accounts, heeft Desai tot op heden geen andere concrete voorbeelden van gezien. Maar de mogelijkheid bestaat wel degelijk.

Zo voorkom je dat je malware installeert op je smartphone

De beveiligingsspecialist bij Zscaler zegt dat TikTok Pro is ontwikkeld met een framework dat lijkt op Spynote en Spymax. Met deze zogeheten Trojan Builders kan iedereen, zelfs als ze weinig kennis hebben, volwaardige spyware ontwikkelen. Het stelen van Facebook-gegevens met Spynote en Spymax is nieuw en zag Desai niet eerder.

Hij eindigt zijn blog met een aantal tips om te voorkomen dat je malware binnenhaalt op je smartphone. Download apps alleen uit officiële applicatiewinkels, zoals de Google Play Store, App Store of de applicatiewinkel van Epic. Krijg je via e-mai, sms of WhatsApp een berichtje met daarin een link om een app te downloaden, trap er niet in. De kans dat je dan malware binnenhaalt is levensgroot. Tot slot raadt Desai aan om de functie ‘downloaden uit externe bronnen’ niet in te schakelen. Deze optie vind je op Android-telefoons en geeft je de mogelijkheid om buiten de Play Store apps te downloaden en installeren.

Om te kijken of er stiekem spyware op de achtergrond draait op je telefoon, ga je naar Settings > Apps > Search for icon that was hidden en zoek je op de naam van de betreffende app (in dit geval TikTok Pro).

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen