TikTok nel mirino degli hacker. Una falsa app diffonde un malware, sfruttando il lato più malizioso degli utenti. Ecco come funziona.
La popolarità significa onori ma anche (anzi, soprattutto) oneri. Inclusi quelli che impongono la protezione da attacchi esterni. E questo vale in particolar modo per i maggiori social.
La privacy degli utenti è tutto. Specie se questi fossero dei ragazzi o addirittura dei bambini. Negli anni, i sistemi di protezione dati hanno ricevuto tanti aggiornamenti quanti sono stati i tentativi di violarne la sicurezza. Alcuni dei social maggiori ci sono già passati. Da Facebook a Instagram, passando per WhatsApp, tutti in qualche modo ingaggiati sul fronte della tutela della privacy dell’utenza. Era solo questione di tempo prima che i criminali del web tentassero di sollevare la grata protettiva dai server di TikTok, il social più utilizzato dagli adolescenti e preadolescenti, in quanto notoriamente aperto (con le dovute accortezze) anche ai minorenni. Il Cavallo di Troia, stavolta sarebbe una challenge. Uno strumento piuttosto ambiguo ma che, purtroppo, finisce sovente per spopolare fra i ragazzi.
Il nome è Invisible Body, challenge che starebbe ottenendo parecchio successo e che sfiderebbe gli utenti a filmarsi nudi, utilizzando però un filtro per dare un effetto sfocato all’immagine. Pratica che già di per sé sarebbe da condannare, se non fosse che gli hacker starebbero cavalcando l’onda della catena virale per piazzare nei sistemi informatici alcuni malware in grado di violare privacy e sicurezza degli utenti. Il sistema sarebbe piuttosto insidioso: un filmato, infatti, sponsorizza un software che sarebbe in grado di rimuovere l’effetto sfocato dalle immagini, mostrando quindi i corpi nudi nella loro interezza.
Attacco hacker su TikTok, furto “hot”: ecco come rubano i dati
Come spesso accade, tali sedicenti sponsorizzazioni altro non sono che gli ami per adescare il maggior numero possibile di prede. Il software in questione, infatti, non solo non manterrebbe la (già di per sé) illecita promessa ma installerebbe nei pc degli utenti meno prudenti dei malware estremamente pericolosi. Il problema è che tale app sarebbe stata scaricata già milioni di volte, mettendo a rischio altrettanti profili e, quindi, server collegati. Il tutto sfruttando la popolarità della challenge e, se vogliamo, la curiosità degli utenti. I quali tenterebbero tramite il software di “rimuovere i veli” dalle immagini di nudo. A scoprire il gioco è stata la società di sicurezza informatica Checkmarx, secondo la quale l’Invisible Body Challenge avrebbe raggiunto (nei due anni trascorsi dal suo lancio) una popolarità tale da renderla vulnerabile ad attacchi informatici.
Due video in particolare, diffusi su TikTok, sponsorizzavano il software in grado, a detta di chi lo ha diffuso, di rimuovere l’effetto sfocato dai video di nudità. I ricercatori hanno quindi scoperto che, una volta effettuati i passaggi indicati nel filmato, si finiva in una chat Discord che, al momento dell’individuazione, contava già 32 mila utenti. Tutte vittime della truffa informatica. Una volta scaricato il software, infatti, sui sistemi operativi veniva automaticamente installato il malware WASP Stealer. Il quale, una volta entrato in azione, è in grado di sottrarre informazioni sensibili, utilizzate poi per diffondere nuove truffe più mirate (phishing per carte di credito, portafogli crittografati, ecc.). Un attacco che, secondo i ricercatori, sfrutterebbe “l’ecosistema dei pacchetti open-source” e che, addirittura, potrebbero aumentare nel 2023. Sfruttando, mai come ora, non solo la curiosità ma anche i punti più deboli degli utenti.