Zscalerは9月8日(米国時間)、公式ブログ「TikTok Spyware|blog」において、TikTokを装ったスパイウェアに関する詳細な分析結果を公開した。このアプリは「TikTok Pro」という名称でTikTokを装う偽アプリ。認証情報とAndroidのアクセス許可を要求し、バックグラウンドでコマンドアンドコントロール(C&C)サーバと通信して、個人情報や画面キャプチャの収集、Facebookの認証情報の盗難などを行う。

Zscalerの分析によると、このアプリはインストール後にユーザーが開こうとすると、偽の通知が起動し、すぐにその通知とアプリアイコンが削除される。偽の通知によってユーザーの注意を逸らした上で、アイコンを削除して存在を隠すという戦術である。

  • 偽の通知とアプリアイコンの削除 - 情報: Zscaler blogsより

    偽の通知とアプリアイコンの削除 資料: Zscaler blogs

アプリはアイコンを削除して存在を隠した後、バックグラウンドではさまざまなプロセスを同時に実行するが、主な機能として、以下があるという。

  • SMSメッセージの取得
  • SMSメッセージの送信
  • デバイスの場所の取得
  • 写真のキャプチャ
  • コマンドの実行する
  • スクリーンショットのキャプチャ
  • 電話番号の呼び出し
  • 他のアプリの起動
  • Facebookの認証情報などの取得

上記の機能は、すべて攻撃者がC&Cサーバから送信したコマンドによって実行される。盗まれたデータは非表示のサブディレクトリを持つ外部ストレージに保存される。C&Cサーバから送られるコマンドの動作としては、次のようなものがある。

  • アプリを再起動する
  • 盗んだデータをC&Cサーバに送信する
  • デバイス画面のスクリーンショットを撮る
  • デバイスの場所を取得する
  • 偽のFacebookログインページを起動する
  • 盗んだFacebookの認証情報を含むファイルをC&Cサーバに送信する
  • すべての連絡先のリストを取得する
  • C&Cサーバから送信されたコマンドを実行する

Zscalerのブログでは、すべてのコマンドのリストや、この偽アプリが動作する仕組みなどが詳細に記載されている。

米国ではトランプ大統領がTikTokの親会社であるByteDanceに米国のTikTok資産の売却を命じる大統領令を出しており、売却が成立しない場合は米国内でのTikTokおよびWeChatの営業が禁止されることになる。もし公式のTikTokのアプリの配布が禁止された場合、非公式のサイトからのダウンロードを試みるユーザーも出てくるだろう。そのようなユーザーは、意図せずにTikTok Proのような悪意をもった偽アプリをインストールしてしまうおそれがあるとZscalerは警告している。