ProSpy Spyware
Cybersikkerhedsforskere har afsløret en sofistikeret Android-spywarekampagne kendt som ProSpy, der specifikt er rettet mod brugere i De Forenede Arabiske Emirater (UAE) ved at udgive sig for at være populære beskedapps som Signal og ToTok. Kampagnen bruger vildledende taktikker til at narre brugere til at installere skadelig software og omgå officielle appbutikker.
Indholdsfortegnelse
Hvordan ProSpy spredes
ProSpy-malwaren distribueres via falske websteder og social engineering-teknikker, der opfordrer brugerne til manuelt at downloade og installere kompromitterede APK-filer. Disse apps er ikke tilgængelige i legitime appbutikker, hvilket gør manuel installation fra tredjepartskilder til et krav.
Kampagnen, der først blev identificeret i juni 2025 og menes at have været aktiv siden 2024, bruger websteder, der udgiver sig for at være Signal og ToTok, til at tilbyde APK-filer med fælder. Disse filer præsenteres vildledende som opgraderinger, herunder navne som Signal Encryption Plugin og ToTok Pro.
Historisk kontekst: Hvorfor ToTok var et mål
Brugen af ToTok som lokkemiddel er særligt strategisk. ToTok blev fjernet fra Google Play og Apple App Store i december 2019 på grund af beskyldninger om, at det fungerede som et overvågningsværktøj for UAE-regeringen, hvor det indsamlede brugernes samtaler, placeringsdata og andre personlige oplysninger.
Udviklerne af ToTok har konsekvent afvist disse påstande og betegner appens fjernelse som markedsmanipulation og hævder, at softwaren ikke spionerer på sine brugere.
Funktioner i de skadelige apps
ProSpy-apps er designet til at anmode om omfattende enhedstilladelser, herunder adgang til:
- Kontakter
- SMS-beskeder
- Filer gemt på enheden
Spywaren kan stjæle følsomme data, herunder enhedsoplysninger, chatbackups og lister over installerede applikationer. Forskere har også bemærket tilstedeværelsen af en anden Android-spywarefamilie, der opererer i regionen på samme tid, hvilket tyder på en koordineret målretningsindsats.
Vildledende omdirigering til maskering af ondsindet aktivitet
Kampagnen inkluderer smarte omdirigeringstaktikker, der styrker apps' legitimitet:
ToTok Pro
Signalkrypteringsplugin
- Denne app indeholder en 'AKTIVER'-knap, der fører brugerne til den officielle Signal-hjemmeside.
- Ikonet for den uærlige app er forklædt som Google Play Tjenester, efter at tilladelser er givet, hvilket yderligere maskerer dets tilstedeværelse.
- Uanset appen sker dataudfiltrering lydløst, før brugerne interagerer med omdirigeringsknapperne, hvilket kompromitterer kontakter, beskeder, filer og andre følsomme oplysninger.
Regional indvirkning og sikkerhedsmæssige konsekvenser
ProSpy-kampagnen fremhæver risiciene ved manuel installation af apps fra uofficielle kilder og de igangværende trusler, der er rettet mod brugere i UAE. Sådanne kampagner viser, hvordan cyberkriminelle udnytter både historiske kontroverser og tillid til populære apps til at infiltrere enheder og stjæle data.
