Шпионски софтуер ProSpy
Изследователи по киберсигурност разкриха сложна шпионска кампания за Android, известна като ProSpy, която е насочена специално към потребители в Обединените арабски емирства (ОАЕ), като се представя за популярни приложения за съобщения като Signal и ToTok. Кампанията разчита на измамни тактики, за да подведе потребителите да инсталират зловреден софтуер, заобикаляйки официалните магазини за приложения.
Съдържание
Как се разпространява ProSpy
Зловредният софтуер ProSpy се разпространява чрез фалшиви уебсайтове и техники за социално инженерство, насърчавайки потребителите ръчно да изтеглят и инсталират компрометирани APK файлове. Тези приложения не са достъпни в легитимни магазини за приложения, което прави ръчното инсталиране от трети страни задължително.
Кампанията, идентифицирана за първи път през юни 2025 г. и за която се смята, че е активна от 2024 г., използва уебсайтове, маскирани като Signal и ToTok, за да предлагат APK файлове с капани. Тези файлове са подвеждащо представени като надстройки, включително имена като Signal Encryption Plugin и ToTok Pro.
Исторически контекст: Защо ToTok беше мишена
Използването на ToTok като примамка е особено стратегическо. ToTok беше премахнат от Google Play и Apple App Store през декември 2019 г. на фона на твърдения, че е функционирал като инструмент за наблюдение за правителството на ОАЕ, събирайки разговори на потребителите, данни за местоположението и друга лична информация.
Разработчиците на ToTok последователно отричат тези твърдения, като представят премахването на приложението като манипулация на пазара и твърдят, че софтуерът не шпионира потребителите си.
Възможности на злонамерените приложения
Приложенията ProSpy са проектирани да изискват обширни разрешения за устройства, включително достъп до:
- Контакти
- SMS съобщения
- Файлове, съхранени на устройството
Шпионският софтуер може да открадне чувствителни данни, включително информация за устройството, резервни копия на чатове и списъци с инсталирани приложения. Изследователите също така са отбелязали наличието на друго семейство шпионски софтуер за Android, действащо в региона по същото време, което предполага координирани усилия за насочване.
Подвеждащо пренасочване за маскиране на злонамерена дейност
Кампанията включва умни тактики за пренасочване, които засилват легитимността на приложенията:
ToTok Pro
- Приложението разполага с бутон „ПРОДЪЛЖИ“, който насочва потребителите към официалната страница за изтегляне на ToTok.
- Бъдещите стартирания на злонамереното приложение отварят легитимното приложение ToTok, като по този начин ефективно прикриват шпионския софтуер.
- Потребителите може да забележат две приложения на устройството си (ToTok и ToTok Pro), които биха могли да бъдат подозрителни.
Плъгин за криптиране на сигнали
- Това приложение включва бутон „АКТИВИРАЙ“, който насочва потребителите към официалния уебсайт на Signal.
- Иконата на злонамереното приложение е маскирана като Google Play Services след предоставяне на разрешения, което допълнително маскира присъствието му.
- Независимо от приложението, изтичането на данни се случва тихо, преди потребителите да взаимодействат с бутоните за пренасочване, компрометирайки контакти, съобщения, файлове и друга чувствителна информация.
Регионално въздействие и последици за сигурността
Кампанията ProSpy подчертава рисковете от ръчното инсталиране на приложения от неофициални източници и продължаващите заплахи, насочени към потребителите в ОАЕ. Подобни кампании демонстрират как киберпрестъпниците използват както исторически противоречия, така и доверие в популярни приложения, за да проникнат в устройства и да крадат данни.
