ProSpy spiegprogrammatūra
Kiberdrošības pētnieki ir atklājuši sarežģītu Android spiegprogrammatūras kampaņu, kas pazīstama kā ProSpy, kura īpaši ir vērsta pret lietotājiem Apvienotajos Arābu Emirātos (AAE), atdarinot populāras ziņojumapmaiņas lietotnes, piemēram, Signal un ToTok. Kampaņa balstās uz maldinošu taktiku, lai maldinātu lietotājus instalēt ļaunprātīgu programmatūru, apejot oficiālos lietotņu veikalus.
Satura rādītājs
Kā izplatās ProSpy
ProSpy ļaunprogrammatūra tiek izplatīta, izmantojot viltotas tīmekļa vietnes un sociālās inženierijas metodes, mudinot lietotājus manuāli lejupielādēt un instalēt kompromitētus APK failus. Šīs lietotnes nav pieejamas likumīgos lietotņu veikalos, tāpēc manuāla instalēšana no trešo pušu avotiem ir obligāta.
Kampaņa, kas pirmo reizi tika identificēta 2025. gada jūnijā un, domājams, ir aktīva kopš 2024. gada, izmanto tīmekļa vietnes, kas maskējas kā Signal un ToTok, lai piedāvātu ar lamatām aprīkotus APK failus. Šie faili maldinoši tiek pasniegti kā jauninājumi, tostarp ar tādiem nosaukumiem kā Signal Encryption Plugin un ToTok Pro.
Vēsturiskais konteksts: Kāpēc ToTok bija mērķis
ToTok izmantošana kā ēsma ir īpaši stratēģiska. ToTok tika noņemts no Google Play un Apple App Store 2019. gada decembrī saistībā ar apgalvojumiem, ka tas darbojas kā AAE valdības novērošanas rīks, vācot lietotāju sarunas, atrašanās vietas datus un citu personisko informāciju.
ToTok izstrādātāji ir pastāvīgi nolieguši šos apgalvojumus, lietotnes noņemšanu raksturojot kā tirgus manipulāciju un apgalvojot, ka programmatūra nespiego savus lietotājus.
Ļaunprātīgu lietotņu iespējas
ProSpy lietotnes ir izstrādātas tā, lai pieprasītu plašas ierīces atļaujas, tostarp piekļuvi:
- Kontakti
- Īsziņas
- Ierīcē saglabātie faili
Spiegprogrammatūra var izgūt sensitīvus datus, tostarp ierīces informāciju, tērzēšanas dublējumkopijas un instalēto lietojumprogrammu sarakstus. Pētnieki ir arī atzīmējuši citas Android spiegprogrammatūru saimes klātbūtni, kas vienlaikus darbojas reģionā, kas liecina par koordinētu mērķēšanas kampaņu.
Maldinoša pāradresācija, lai maskētu ļaunprātīgu darbību
Kampaņa ietver gudras pāradresācijas taktikas, kas pastiprina lietotņu leģitimitāti:
ToTok Pro
- Lietotnē ir poga “TURPINĀT”, kas lietotājus novirza uz oficiālo ToTok lejupielādes lapu.
- Turpmākās ļaunprātīgās lietotnes palaišanas atver likumīgo ToTok lietotni, efektīvi slēpjot spiegprogrammatūru.
- Lietotāji savā ierīcē var pamanīt divas lietotnes (ToTok un ToTok Pro), kas varētu būt aizdomīgas.
Signāla šifrēšanas spraudnis
- Šajā lietotnē ir iekļauta poga “IESPĒGOT”, kas lietotājus novirza uz oficiālo Signal vietni.
- Pēc atļauju piešķiršanas negodīgas lietotnes ikona tiek maskēta kā Google Play pakalpojumi, vēl vairāk maskējot tās klātbūtni.
- Neatkarīgi no lietotnes, datu noplūde notiek nemanāmi, pirms lietotāji mijiedarbojas ar pāradresācijas pogām, apdraudot kontaktpersonas, ziņojumus, failus un citu sensitīvu informāciju.
Reģionālā ietekme un drošības sekas
ProSpy kampaņa izceļ riskus, kas saistīti ar manuālu lietotņu instalēšanu no neoficiāliem avotiem, un pastāvīgos draudus, kas vērsti pret lietotājiem AAE. Šādas kampaņas parāda, kā kibernoziedznieki izmanto gan vēsturiskas pretrunas, gan uzticēšanos populārām lietotnēm, lai iefiltrētos ierīcēs un zagtu datus.
