ProSpy nuhkvara

Küberturvalisuse uurijad on paljastanud keeruka Androidi nuhkvarakampaania, mida tuntakse nime all ProSpy ja mis on suunatud spetsiaalselt Araabia Ühendemiraatide (AÜE) kasutajatele, imiteerides populaarseid sõnumsiderakendusi nagu Signal ja ToTok. Kampaania tugineb petlikele taktikatele, et meelitada kasutajaid pahavara installima, möödudes ametlikest rakenduste poodidest.

Kuidas ProSpy levib

ProSpy pahavara levitatakse võltsveebisaitide ja sotsiaalse manipuleerimise tehnikate kaudu, julgustades kasutajaid käsitsi alla laadima ja installima kahjustatud APK-faile. Need rakendused pole seaduslikes rakenduste poodides saadaval, mistõttu on käsitsi installimine kolmandate osapoolte allikatest kohustuslik.

Kampaania, mis tuvastati esmakordselt 2025. aasta juunis ja arvatakse olevat aktiivne olnud alates 2024. aastast, kasutab veebisaite, mis maskeeruvad Signaliks ja ToTokiks, et pakkuda lõksudega APK-faile. Neid faile esitletakse eksitavalt uuendustena, sealhulgas selliste nimedega nagu Signal Encryption Plugin ja ToTok Pro.

Ajalooline kontekst: miks ToTok oli sihtmärk

ToToki kasutamine peibutusvahendina on eriti strateegiline. ToTok eemaldati Google Playst ja Apple App Store'ist 2019. aasta detsembris seoses väidetega, et see toimib AÜE valitsuse jälgimisvahendina, kogudes kasutajate vestlusi, asukohaandmeid ja muud isiklikku teavet.

ToToki arendajad on neid väiteid järjekindlalt eitanud, nimetades rakenduse eemaldamist turumanipulatsiooniks ja väites, et tarkvara ei luura oma kasutajate järele.

Pahatahtlike rakenduste võimalused

ProSpy rakendused on loodud nii, et need taotlevad ulatuslikke seadmelubasid, sealhulgas juurdepääsu järgmisele:

• Kontaktid
• SMS-sõnumid
• Seadmesse salvestatud failid

Nuhkvara suudab välja filtreerida tundlikke andmeid, sealhulgas seadmeteavet, vestluste varukoopiaid ja installitud rakenduste loendeid. Teadlased on täheldanud ka teise Androidi nuhkvaraperekonna tegutsemist piirkonnas samal ajal, mis viitab koordineeritud sihtmärgistamisele.

Petlik ümbersuunamine pahatahtliku tegevuse varjamiseks

Kampaania hõlmab nutikaid ümbersuunamistaktikaid, mis tugevdavad rakenduste legitiimsust:

ToTok Pro

• Rakendusel on nupp „JÄTKA”, mis suunab kasutajad ToToki ametlikule allalaadimislehele.

• Pahatahtliku rakenduse tulevased käivitamised avavad seadusliku ToToki rakenduse, varjates nuhkvara sisuliselt.

• Kasutajad võivad oma seadmes märgata kahte rakendust (ToTok ja ToTok Pro), mis võivad olla kahtlased.

Signaali krüptimise plugin

• See rakendus sisaldab nuppu „LUBA”, mis juhatab kasutajad ametlikule Signali veebisaidile.
• Pärast lubade andmist maskeeritakse petturliku rakenduse ikoon Google Play teenusteks, mis varjab selle olemasolu veelgi.
• Olenemata rakendusest toimub andmete väljavool märkamatult enne, kui kasutajad ümbersuunamisnuppudega suhtlevad, kahjustades kontakte, sõnumeid, faile ja muud tundlikku teavet.

Regionaalne mõju ja julgeolekualased tagajärjed

ProSpy kampaania toob esile mitteametlikest allikatest rakenduste käsitsi installimise riskid ja jätkuvad ohud, mis on suunatud AÜE kasutajatele. Sellised kampaaniad näitavad, kuidas küberkurjategijad kasutavad ära nii ajaloolisi vastuolusid kui ka usaldust populaarsete rakenduste vastu, et seadmetesse tungida ja andmeid varastada.