Špionážní software ProSpy
Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou kampaň se špionážním softwarem pro Android známou jako ProSpy, která se konkrétně zaměřuje na uživatele ve Spojených arabských emirátech (SAE) tím, že se vydává za populární aplikace pro zasílání zpráv, jako jsou Signal a ToTok. Kampaň se spoléhá na klamavé taktiky, které uživatele přimějí k instalaci škodlivého softwaru a obcházejí oficiální obchody s aplikacemi.
Obsah
Jak se ProSpy šíří
Malware ProSpy je distribuován prostřednictvím falešných webových stránek a technik sociálního inženýrství a nabádá uživatele k ručnímu stahování a instalaci napadených souborů APK. Tyto aplikace nejsou dostupné v legitimních obchodech s aplikacemi, takže je nutné je instalovat z externích zdrojů.
Kampaň, poprvé identifikovaná v červnu 2025 a pravděpodobně aktivní od roku 2024, využívá webové stránky maskované jako Signal a ToTok k nabízení nastražených souborů APK. Tyto soubory jsou zavádějícím způsobem prezentovány jako upgrady, například pod názvy jako Signal Encryption Plugin a ToTok Pro.
Historický kontext: Proč byl ToTok cílem
Využití ToToku jako návnady je obzvláště strategické. ToTok byl v prosinci 2019 odstraněn z Google Play a Apple App Storu kvůli obviněním, že fungoval jako sledovací nástroj pro vládu Spojených arabských emirátů a shromažďoval konverzace uživatelů, údaje o poloze a další osobní údaje.
Vývojáři aplikace ToTok tato tvrzení důsledně popírají, označují odstranění aplikace za manipulaci s trhem a tvrdí, že software své uživatele nešpehuje.
Schopnosti škodlivých aplikací
Aplikace ProSpy jsou navrženy tak, aby vyžadovaly rozsáhlá oprávnění zařízení, včetně přístupu k:
- Kontakty
- SMS zprávy
- Soubory uložené v zařízení
Tento spyware dokáže odcizit citlivá data, včetně informací o zařízení, záloh chatu a seznamů nainstalovaných aplikací. Výzkumníci také zaznamenali přítomnost další rodiny spywaru pro Android, která v regionu působila ve stejnou dobu, což naznačuje koordinované cílené úsilí.
Klamlivé přesměrování za účelem maskování škodlivé aktivity
Kampaň zahrnuje chytré taktiky přesměrování, které posilují legitimitu aplikací:
ToTok Pro
- Aplikace obsahuje tlačítko „POKRAČOVAT“, které uživatele přesměruje na oficiální stránku pro stahování ToToku.
- Budoucí spuštění škodlivé aplikace otevírají legitimní aplikaci ToTok a efektivně maskují spyware.
- Uživatelé si mohou na svém zařízení všimnout dvou aplikací (ToTok a ToTok Pro), které by mohly být podezřelé.
Plugin pro šifrování signálu
- Tato aplikace obsahuje tlačítko „POVOLIT“, které uživatele přesměruje na oficiální webové stránky Signalu.
- Ikona podvodné aplikace je po udělení oprávnění maskována jako Služby Google Play, což dále maskuje její přítomnost.
- Bez ohledu na aplikaci dochází k úniku dat tiše, ještě než uživatelé interagují s tlačítky přesměrování, čímž dochází k ohrožení kontaktů, zpráv, souborů a dalších citlivých informací.
Regionální dopad a bezpečnostní důsledky
Kampaň ProSpy upozorňuje na rizika ruční instalace aplikací z neoficiálních zdrojů a na přetrvávající hrozby namířené proti uživatelům v SAE. Takové kampaně ukazují, jak kyberzločinci zneužívají historické kontroverze i důvěru v populární aplikace k infiltraci zařízení a krádeži dat.
