ProSpy spionprogram
Forskere innen nettsikkerhet har avdekket en sofistikert Android-spionprogramvarekampanje kjent som ProSpy, som spesifikt retter seg mot brukere i De forente arabiske emirater (UAE) ved å utgi seg for å være populære meldingsapper som Signal og ToTok. Kampanjen bruker villedende taktikker for å lure brukere til å installere skadelig programvare, og omgå offisielle appbutikker.
Innholdsfortegnelse
Hvordan ProSpy sprer seg
ProSpy-skadevaren distribueres via falske nettsteder og sosial manipulering, og oppfordrer brukere til å laste ned og installere kompromitterte APK-filer manuelt. Disse appene er ikke tilgjengelige i legitime appbutikker, noe som gjør manuell installasjon fra tredjepartskilder til et krav.
Kampanjen, som først ble identifisert i juni 2025 og antas å ha vært aktiv siden 2024, bruker nettsteder som utgir seg for å være Signal og ToTok for å tilby APK-filer med feller. Disse filene presenteres misvisende som oppgraderinger, inkludert navn som Signal Encryption Plugin og ToTok Pro.
Historisk kontekst: Hvorfor ToTok var et mål
Bruken av ToTok som lokkemiddel er spesielt strategisk. ToTok ble fjernet fra Google Play og Apple App Store i desember 2019 etter påstander om at det fungerte som et overvåkingsverktøy for myndighetene i De forente arabiske emirater, og samlet inn brukernes samtaler, posisjonsdata og annen personlig informasjon.
Utviklerne av ToTok har konsekvent benektet disse påstandene, og omtalt fjerningen av appen som markedsmanipulasjon og hevdet at programvaren ikke spionerer på brukerne sine.
Funksjoner til skadelige apper
ProSpy-appene er utformet for å be om omfattende enhetstillatelser, inkludert tilgang til:
- Kontakter
- SMS-meldinger
- Filer lagret på enheten
Spionprogrammet kan stramme inn sensitive data, inkludert enhetsinformasjon, sikkerhetskopier av chatter og lister over installerte apper. Forskere har også bemerket tilstedeværelsen av en annen Android-spionprogramfamilie som opererer i regionen samtidig, noe som tyder på en koordinert målrettingsinnsats.
Villedende omdirigering til maskering av ondsinnet aktivitet
Kampanjen inkluderer smarte omdirigeringstaktikker som forsterker appenes legitimitet:
ToTok Pro
- Appen har en «FORTSETT»-knapp, som leder brukere til den offisielle nedlastingssiden for ToTok.
- Fremtidige lanseringer av den ondsinnede appen åpner den legitime ToTok-appen, og skjuler effektivt spionprogrammet.
- Brukere kan legge merke til to apper på enheten sin (ToTok og ToTok Pro), som kan være mistenkelige.
Signalkrypteringsplugin
- Denne appen inneholder en «AKTIVER»-knapp som leder brukere til det offisielle Signal-nettstedet.
- Ikonet for den uønskede appen er kamuflert som Google Play-tjenester etter at tillatelser er gitt, noe som ytterligere maskerer tilstedeværelsen.
- Uavhengig av appen skjer datautfiltrering stille før brukere samhandler med omdirigeringsknappene, noe som kompromitterer kontakter, meldinger, filer og annen sensitiv informasjon.
Regional innvirkning og sikkerhetsmessige implikasjoner
ProSpy-kampanjen fremhever risikoen ved å installere apper manuelt fra uoffisielle kilder og de pågående truslene som retter seg mot brukere i De forente arabiske emirater. Slike kampanjer viser hvordan nettkriminelle utnytter både historiske kontroverser og tillit til populære apper for å infiltrere enheter og stjele data.
