Golpe usa TikTok Shop falso para roubar dados

Uma nova operação de ciberataques batizada de “FraudOnTok” tem preocupado especialistas em segurança digital. A campanha, identificada pela empresa CTM360, utiliza versões falsas do TikTok Shop para espalhar um spyware chamado SparkKitty. O objetivo: roubar carteiras de criptomoedas e informações sensíveis de usuários que pensam estar navegando na plataforma oficial.

Leia: Sindpd 360º: Queremos ouvir a sua voz na Campanha Salarial 2026!

Segundo os analistas da CTM360, trata-se de um ataque bem planejado, que mistura táticas de phishing e distribuição de malware, visando usuários comuns e afiliados do sistema de e-commerce do TikTok.

Etapas do golpe FraudOnTok

A campanha de disseminação do malware segue um roteiro estruturado:

A vítima instala um aplicativo falso do TikTok Shop, que vem infectado com o spyware SparkKitty;
Dentro da interface do app, páginas clonadas imitam recursos oficiais como TikTok Shop, TikTok Wholesale e TikTok Mall;
O usuário é persuadido a fazer login com sua conta legítima e a realizar compras, pagando em criptomoedas;
Assim que o pagamento é efetuado, o spyware entra em ação e coleta dados das carteiras digitais da vítima.

O SparkKitty, porém, não espera o pagamento para agir. Ainda antes da transação, o malware já pode acessar imagens da galeria do celular, capturando prints que contenham informações confidenciais.

Segundo a CTM360, mais de 10 mil modelos de URLs falsas que imitam o TikTok foram detectados na campanha. Além disso, cerca de 5 mil aplicativos maliciosos contendo o SparkKitty foram encontrados circulando na internet.

Métodos de disseminação do SparkKitty

Os aplicativos infectados estão sendo promovidos por meio de páginas que simulam o ambiente do TikTok, além de abordagens diretas em plataformas como WhatsApp e Telegram. Sites maliciosos são divulgados por meio de campanhas de anúncios em redes sociais, como o Meta Ads, com vídeos falsos gerados por inteligência artificial.

Ao interagir com esses anúncios, o usuário é levado a sites suspeitos com domínios que terminam em extensões incomuns, como .top, .shop e .icu. O app, embora aparente ser legítimo, é apenas uma cópia da loja do TikTok com o spyware operando em segundo plano, coletando dados sigilosos.

Como evitar o golpe FraudOnTok?

Para se proteger dessa ameaça, a CTM360 lista algumas práticas recomendadas:

Não instale versões modificadas de apps que ofereçam “benefícios extras”;
Evite baixar aplicativos de fontes não verificadas, como grupos no Telegram ou páginas de torrents;
Sempre verifique o endereço do site antes de fornecer dados bancários ou efetuar pagamentos;
Denuncie anúncios com comportamento suspeito;
Prefira carteiras de criptomoedas com recursos de proteção contra captura de informações da Área de Transferência.

Caso você tenha acessado um desses sites suspeitos, mas interrompeu a navegação rapidamente, é pouco provável que seu dispositivo tenha sido comprometido.

Ainda assim, o ideal é evitar acessar sites não oficiais e, ao ver um anúncio interessante, procurar manualmente pela oferta no site oficial, usando um mecanismo de busca confiável.

Lançamento da Campanha Salarial 2026

A Campanha Salarial 2026 do Sindpd-SP começa no segundo semestre e o seu lançamento será em Campinas, no dia 16 de agosto! Vem aí o Sindpd On Fire, uma experiência inédita e ousada, exclusiva para sócios e contribuintes do Sindpd e seus convidados! O Sindpd vai promover o maior open churrasco do Brasil, com shows ao vivo com Fernando e Sorocaba em grandes encontros que prometem fazer história.

Os dois eixos centrais da pauta deste ano já estão definidos: o fim da escala 6×1 no setor de TI paulista e a conquista de aumento real nos salários, demandas que refletem a busca do Sindpd por melhores condições de trabalho e pela valorização dos profissionais de TI.

Sócios e contribuintes pagam apenas um valor simbólico por 4 horas de churrasco, shows ao vivo e ainda ganham um copo exclusivo do Sindpd On Fire. E ainda podem levar até dois convidados cada (saiba mais no site do Sindpd On Fire).

Vale lembrar que o Sindpd On Fire é aberto para crianças de todas as idades, desde que acompanhados pelos pais ou responsáveis e portando a documentação adequada. Crianças menores de 12 anos não pagam nada para entrar no evento, enquanto crianças a partir de 12 anos pagam normalmente, como convidados de sócios ou contribuintes.

Promoções para o Sindpd On Fire

Para tornar esse dia ainda mais especial, preparamos duas promoções imperdíveis para sócios e contribuintes do Sindpd.

No dia 10 de agosto, comemora-se o Dia dos Pais e pensando nisso, o sindicato lançou a promoção para que seu pai curta um churrasco de graça na conta do Sindpd. Se você é sócio ou contribuinte do sindicato, pode levar seu pai de graça para curtir o evento com você. (Saiba mais aqui)

Além disso, pensando na comodidade dos participantes e em estimular a presença de sócios e contribuintes no Sindpd On Fire Campinas o Sindpd está avaliando a viabilidade de oferecer transporte gratuito para os inscritos no evento. A proposta é organizar ônibus que partam de diferentes pontos estratégicos, de acordo com a demanda. (Saiba mais aqui)

Outra iniciativa é a Caravana Sindpd On Fire, que visa fortalecer o espírito coletivo e facilitar a participação dos profissionais de TI da região no evento: grupos de 20 ou mais pessoas garantem o valor de R$ 50 por entrada, incluindo convidados! Monte o seu grupo e entre em contato com o Sindpd pelo WhatsApp (11) 3823-5600. (Saiba mais aqui)

Sindpd On Fire Campinas

Local: Fazenda Santa Margarida – Campinas
Data: 16 de agosto
Horário: A partir das 14h
Endereço: R. Rubens Gomes Balsas, 311 – Joaquim Egídio – CEP 13274-465

(Com informações de TecMundo)
(Foto: Reprodução/Freepik)