ProSpy-vakoiluohjelma
Kyberturvallisuustutkijat ovat paljastaneet hienostuneen Android-vakoiluohjelmakampanjan nimeltä ProSpy, joka kohdistuu erityisesti Yhdistyneiden arabiemiirikuntien (UAE) käyttäjiin matkimalla suosittuja viestisovelluksia, kuten Signalia ja ToTokia. Kampanja perustuu harhaanjohtaviin taktiikoihin, joilla pyritään huijaamaan käyttäjiä asentamaan haittaohjelmia ohittaen viralliset sovelluskaupat.
Sisällysluettelo
Miten ProSpy leviää
ProSpy-haittaohjelma leviää väärennettyjen verkkosivustojen ja sosiaalisen manipuloinnin tekniikoiden kautta, ja se kannustaa käyttäjiä lataamaan ja asentamaan vaarantuneita APK-tiedostoja manuaalisesti. Näitä sovelluksia ei ole saatavilla laillisista sovelluskaupoista, joten manuaalinen asennus kolmannen osapuolen lähteistä on pakollista.
Kampanja, joka tunnistettiin ensimmäisen kerran kesäkuussa 2025 ja jonka uskotaan olleen aktiivinen vuodesta 2024 lähtien, käyttää Signaliksi ja ToTokiksi naamioituneita verkkosivustoja tarjotakseen ansoilla varustettuja APK-tiedostoja. Nämä tiedostot esitetään harhaanjohtavasti päivityksinä, ja niiden nimiin kuuluvat muun muassa Signal Encryption Plugin ja ToTok Pro.
Historiallinen konteksti: Miksi ToTok oli kohde
ToTokin käyttö houkuttimena on erityisen strategista. ToTok poistettiin Google Playsta ja Apple App Storesta joulukuussa 2019 väitteiden keskellä, joiden mukaan se toimi Yhdistyneiden arabiemiirikuntien hallituksen valvontatyökaluna ja keräsi käyttäjien keskusteluja, sijaintitietoja ja muita henkilökohtaisia tietoja.
ToTokin kehittäjät ovat johdonmukaisesti kiistäneet nämä väitteet, kehystämällä sovelluksen poistamisen markkinoiden manipuloinniksi ja väittämällä, että ohjelmisto ei vakoile käyttäjiään.
Haittaohjelmien ominaisuudet
ProSpy-sovellukset on suunniteltu pyytämään laajoja laiteoikeuksia, mukaan lukien pääsy seuraaviin:
- Yhteystiedot
- Tekstiviestit
- Laitteeseen tallennetut tiedostot
Vakoiluohjelma voi vuotaa arkaluonteisia tietoja, kuten laitetietoja, keskustelujen varmuuskopioita ja asennettujen sovellusten luetteloita. Tutkijat ovat myös havainneet toisen Android-vakoiluohjelmaperheen toimivan alueella samanaikaisesti, mikä viittaa koordinoituun kohdistustoimintaan.
Harhaanjohtava uudelleenohjaus haitallisen toiminnan peittämiseksi
Kampanja sisältää nerokkaita uudelleenohjaustaktiikoita, jotka vahvistavat sovellusten legitimiteettiä:
ToTok Pro
- Sovelluksessa on 'JATKA'-painike, joka ohjaa käyttäjät ToTokin viralliselle lataussivulle.
- Haitallisen sovelluksen tulevat julkaisukerrat avaavat laillisen ToTok-sovelluksen, joka tehokkaasti kätkee vakoiluohjelman.
- Käyttäjät saattavat huomata laitteellaan kaksi sovellusta (ToTok ja ToTok Pro), jotka voivat olla epäilyttäviä.
Signaalin salauslaajennus
- Tässä sovelluksessa on 'OTA KÄYTTÖÖN'-painike, joka ohjaa käyttäjät Signalin viralliselle verkkosivustolle.
- Haittasovelluksen kuvake naamioidaan Google Play Palveluiksi käyttöoikeuksien myöntämisen jälkeen, mikä peittää sen läsnäolon entisestään.
- Sovelluksesta riippumatta tiedonsiirto tapahtuu huomaamattomasti ennen kuin käyttäjät käyttävät uudelleenohjauspainikkeita, vaarantaen yhteystiedot, viestit, tiedostot ja muut arkaluontoiset tiedot.
Alueellinen vaikutus ja turvallisuusseuraukset
ProSpy-kampanja korostaa epävirallisista lähteistä tulevien sovellusten manuaalisen asentamisen riskejä ja jatkuvia uhkia, jotka kohdistuvat käyttäjiin Arabiemiirikunnissa. Tällaiset kampanjat osoittavat, kuinka kyberrikolliset hyödyntävät sekä historiallisia kiistoja että luottamusta suosittuihin sovelluksiin soluttautuakseen laitteisiin ja varastaakseen tietoja.
