Zscalerは9月8日(米国時間)、公式ブログ「TikTok Spyware|blog」において、TikTokを装ったスパイウェアに関する詳細な分析結果を公開した。このアプリは「TikTok Pro」という名称でTikTokを装う偽アプリ。認証情報とAndroidのアクセス許可を要求し、バックグラウンドでコマンドアンドコントロール(C&C)サーバと通信して、個人情報や画面キャプチャの収集、Facebookの認証情報の盗難などを行う。
Zscalerの分析によると、このアプリはインストール後にユーザーが開こうとすると、偽の通知が起動し、すぐにその通知とアプリアイコンが削除される。偽の通知によってユーザーの注意を逸らした上で、アイコンを削除して存在を隠すという戦術である。
アプリはアイコンを削除して存在を隠した後、バックグラウンドではさまざまなプロセスを同時に実行するが、主な機能として、以下があるという。
- SMSメッセージの取得
- SMSメッセージの送信
- デバイスの場所の取得
- 写真のキャプチャ
- コマンドの実行する
- スクリーンショットのキャプチャ
- 電話番号の呼び出し
- 他のアプリの起動
- Facebookの認証情報などの取得
上記の機能は、すべて攻撃者がC&Cサーバから送信したコマンドによって実行される。盗まれたデータは非表示のサブディレクトリを持つ外部ストレージに保存される。C&Cサーバから送られるコマンドの動作としては、次のようなものがある。
- アプリを再起動する
- 盗んだデータをC&Cサーバに送信する
- デバイス画面のスクリーンショットを撮る
- デバイスの場所を取得する
- 偽のFacebookログインページを起動する
- 盗んだFacebookの認証情報を含むファイルをC&Cサーバに送信する
- すべての連絡先のリストを取得する
- C&Cサーバから送信されたコマンドを実行する
Zscalerのブログでは、すべてのコマンドのリストや、この偽アプリが動作する仕組みなどが詳細に記載されている。
米国ではトランプ大統領がTikTokの親会社であるByteDanceに米国のTikTok資産の売却を命じる大統領令を出しており、売却が成立しない場合は米国内でのTikTokおよびWeChatの営業が禁止されることになる。もし公式のTikTokのアプリの配布が禁止された場合、非公式のサイトからのダウンロードを試みるユーザーも出てくるだろう。そのようなユーザーは、意図せずにTikTok Proのような悪意をもった偽アプリをインストールしてしまうおそれがあるとZscalerは警告している。