Zscalerは9月8日(米国時間)、公式ブログ「TikTok Spyware|blog」において、TikTokを装ったスパイウェアに関する詳細な分析結果を公開した。このアプリは「TikTok Pro」という名称でTikTokを装う偽アプリ。認証情報とAndroidのアクセス許可を要求し、バックグラウンドでコマンドアンドコントロール(C&C)サーバと通信して、個人情報や画面キャプチャの収集、Facebookの認証情報の盗難などを行う。

Zscalerの分析によると、このアプリはインストール後にユーザーが開こうとすると、偽の通知が起動し、すぐにその通知とアプリアイコンが削除される。偽の通知によってユーザーの注意を逸らした上で、アイコンを削除して存在を隠すという戦術である。

偽の通知とアプリアイコンの削除 資料: Zscaler blogs

アプリはアイコンを削除して存在を隠した後、バックグラウンドではさまざまなプロセスを同時に実行するが、主な機能として、以下があるという。

SMSメッセージの取得

SMSメッセージの送信

デバイスの場所の取得

写真のキャプチャ

コマンドの実行する

スクリーンショットのキャプチャ

電話番号の呼び出し

他のアプリの起動

Facebookの認証情報などの取得

上記の機能は、すべて攻撃者がC&Cサーバから送信したコマンドによって実行される。盗まれたデータは非表示のサブディレクトリを持つ外部ストレージに保存される。C&Cサーバから送られるコマンドの動作としては、次のようなものがある。

アプリを再起動する

盗んだデータをC&Cサーバに送信する

デバイス画面のスクリーンショットを撮る

デバイスの場所を取得する

偽のFacebookログインページを起動する

盗んだFacebookの認証情報を含むファイルをC&Cサーバに送信する

すべての連絡先のリストを取得する

C&Cサーバから送信されたコマンドを実行する

Zscalerのブログでは、すべてのコマンドのリストや、この偽アプリが動作する仕組みなどが詳細に記載されている。

米国ではトランプ大統領がTikTokの親会社であるByteDanceに米国のTikTok資産の売却を命じる大統領令を出しており、売却が成立しない場合は米国内でのTikTokおよびWeChatの営業が禁止されることになる。もし公式のTikTokのアプリの配布が禁止された場合、非公式のサイトからのダウンロードを試みるユーザーも出てくるだろう。そのようなユーザーは、意図せずにTikTok Proのような悪意をもった偽アプリをインストールしてしまうおそれがあるとZscalerは警告している。