Toll Fraud Malware wie TikTok Pro

Bild: XanderSt / Shutterstock.com
LinkedInXingPocketWhatsAppFlipboard

Im Januar 2020 untersagten Zweigstellen des US-Militärs die Nutzung von TikTok. Der Grund waren Bedenken, dass die von der App gesammelten Daten an Server in China und Russland zurückgesandt werden. Wie viele andere Social-Media-Plattformen erfragt auch TikTok eine Reihe von Berechtigungen seitens der Nutzer.

Hier geht es konkret um die Befürchtung, dass die App Standortdaten an Server in diesen beiden Ländern zurücksenden könnte. 

Anzeige

Dieser Schritt des US-Militärs macht deutlich, wie wichtig Transparenz in Bezug auf das Senden von Daten ist und hinsichtlich dessen, was potenziell mit ihnen geschieht. Insbesondere, weil immer mehr Nutzer ein und dasselbe Mobilgerät sowohl für private als auch für berufliche Zwecke nutzen. 

Für Unternehmen, die mit sensiblen Daten umgehen und die ein Bring-your-own-Device-Modell (BYOD) als Teil der globalen Verlagerung auf Remote Working eingeführt haben, sollte das ein besonderes Anliegen sein. 

Mit Bekanntwerden der Nachricht führte Lookout eine App-Analyse der TikTok-App für iOS und Android durch und ist dabei zu folgendem Ergebnis gekommen: 

 

iOS

  • 119 mit TikTok verbundene IP-Adressen wurden in China gehostet
  • 1 IP-Adresse im Zusammenhang mit TikTok wurde in Hongkong gehostet
  • 2 mit TikTok verbundene IP-Adressen wurden in Russland gehostet
  • Die Anwendung enthält 7 als risikoträchtig einzustufende Funktionen, insbesondere die Markierung von Verbindungen zu einer privaten IP-Adresse und die Überwachung von Standortänderungen

Android

  •  0 IP-Adressen im Zusammenhang mit TikTok wurden in China gehostet
  •  0 IP-Adressen im Zusammenhang mit TikTok wurden in Hongkong gehostet
  •  0 IP-Adressen im Zusammenhang mit TikTok wurden in Russland gehostet
  •  Es gibt 6 Funktionsmerkmale, die innerhalb der Anwendung als riskant eingestuft werden, insbesondere die Verwendung von kundenspezifischen RNG Seeds

Erst kürzlich, im Juni dieses Jahres, hat ein Reddit-Nutzer die App mittels Reverse Engineering (also der Umkehrung des Entwicklungs- bzw. Produktionsprozesses vom Produkt hin zum Quellcode) analysiert. Sein Urteil nach der Zusammenfassung seiner Ergebnisse fiel eindeutig aus. Er klassifizierte TikTok schlicht als Malware. Der Autor verglich die App außerdem mit anderen Anwendungen, die er ebenfalls mittels Reverse Engineering unter die Lupe genommen hatte, darunter Facebook, Instagram, Reddit und Twitter. Dabei stellte er fest, dass andere Social-Media-Anwendungen nicht einmal annähernd so viele Daten einsammeln wie TikTok.

Das Unternehmen leugnet weiterhin jede Verbindung zur chinesischen Regierung und bestreitet den Austausch von Benutzerdaten mit irgendeiner Art von staatlich unterstützten Stellen. 

Bei genauer Betrachtung des Sachverhalts stößt man schnell auf einen Bericht des Australian Strategic Policy Institute (ASPI). Unter dem Titel “Mapping China’s Technology Giants” werden darin die größten chinesischen Technologieunternehmen und deren Überwachungstätigkeiten analysiert und bewertet. Gegenstand dieses Berichts ist auch ByteDance, die Muttergesellschaft von TikTok. ByteDance arbeitet demnach mit den Büros für öffentliche Sicherheit in Xinjiang zusammen und spielt eine aktive Rolle bei der “Verbreitung der Propaganda des Parteistaates über Xinjiang”. Konkret hat ByteDance eine Video-Sharing-App namens Duoyin entwickelt. Sie dient dazu, den “Einfluss und die Glaubwürdigkeit” der Polizeidienststellen landesweit zu fördern (in diesem Fall der Internet-Polizei von Xinjiang), und zwar in Übereinstimmung mit einem Abkommen zur strategischen Zusammenarbeit mit dem chinesischen Ministerium für öffentliche Sicherheit aus dem Jahr 2019.

Auf Basis dieser neuerlichen Überprüfung, haben die Security-Researcher von Lookout die iOS- und Android-Apps ein weiteres Mal analysiert, um festzustellen, ob es im Vergleich zum Januar signifikante Unterschiede gibt. Sie kamen zu folgendem Ergebnis:  

 

iOS

  • 11 mit TikTok verbundene IP-Adressen wurden in China gehostet (Rückgang um 108)
  • 2 mit TikTok verbundene IP-Adressen wurden in Hongkong gehostet (Zunahme um 1)
  • 3 mit TikTok verbundene IP-Adressen wurden in Russland gehostet (Zunahme um 1)
  • Es gab 6 potenziell riskante Berechtigungen in der App (Rückgang um 1). Auch wenn die Verbindung zur privaten IP entfernt wurde, überwacht die App weiterhin Standortwechsel, greift auf die Zwischenablage zu und akzeptiert eingehende Verbindungen. 

Android

  •  5 mit TikTok verbundene IP-Adressen wurden in China gehostet (Zunahme um 5)
  •  0 IP-Adressen im Zusammenhang mit TikTok wurden in Hongkong gehostet
  •  0 IP-Adressen im Zusammenhang mit TikTok wurden in Russland gehostet
  •  Es gab 6 risikoreiche Berechtigungen insbesondere unter Verwendung von kundenspezifischem RNG Seeds (keine Veränderung) 

Das interessanteste Ergebnis der Analyse ist der massive Rückgang der Zahl chinesischer IP-Adressen, mit denen sich die iOS-Version der App verbindet, sowie die neuen Verbindungen nach China von der Android-App aus. Das kann eine Reihe von Gründen haben, ist aber im Unterschied zur ursprünglichen Analyse bemerkenswert.

Es gibt bereits Hinweise darauf, dass böswillige Akteure das indische TikTok-Verbot ausnutzen, um den Nutzern stattdessen eine Malware unterzuschieben. Lookout hat die gefälschte “TikTok Pro”-Anwendung eingehend analysiert und als Toll Fraud Malware eingestuft. Toll Fraud ist keine neue, aber immer noch sehr effektive Methode für Cyberkriminelle an eine billig erstellte Anwendung zu kommen.

Toll Fraud ist auf der Android-Plattform mit die beliebteste Betrugsmasche. Den Nutzern werden dabei gefälschte Apps untergeschoben, die dann beispielsweise Premium-SMS verschicken oder sich anderweitig bereichern. Lookout fand zudem heraus, dass die gefälschte Anwendung ganz ähnliche Berechtigungen anfordert wie die echte TikTok-Anwendung, wie z.B. den Standort, die Sensordaten des Geräts und die Kontakte. Einmal installiert, kann die Schad-App auf dem Gerät nicht mehr geöffnet werden und sendet dann ohne Wissen des Nutzer Premium-SMS an indische Telefonnummern. 

Sollten TikTok und andere von ByteDance entwickelte Anwendungen in Zukunft auf breiterer Basis verboten werden, sollten wir uns auf eine Welle von bösartigen Apps und Phishing-Versuchen vorbereiten. Phishing-Versuche, die sich gezielt an Nutzer richten, die dennoch die verbotene App nutzen wollen. 

www.lookout.com


Anzeige

Artikel zu diesem Thema

14. August 2021
Risikoscheue Chefs schlecht für Firmen
10. August 2021
Digitalisierung der Energiewirtschaft – was man darüber wissen sollte

Weitere Artikel

Cybercrime
Aufdeckung jahrzehntelanger rumänischer Botnet-Operation: RUBYCARP
Cybercrime
StrelaStealer-Kampagne attackiert Unternehmen in der EU und den USA
Cybercrime
Ransomware-Vorfälle durch ERP-Kompromittierung verfünffacht
Cybercrime
Nordkoreanische Hackergruppe mit neuen Spionagetaktiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.