Spyware ProSpy
Pesquisadores de segurança cibernética descobriram uma sofisticada campanha de spyware para Android conhecida como ProSpy, que tem como alvo específico usuários nos Emirados Árabes Unidos (EAU), imitando aplicativos de mensagens populares como Signal e ToTok. A campanha utiliza táticas enganosas para induzir os usuários a instalar softwares maliciosos, ignorando as lojas de aplicativos oficiais.
Índice
Como o ProSpy se espalha
O malware ProSpy é distribuído por meio de sites falsos e técnicas de engenharia social, incentivando os usuários a baixar e instalar manualmente arquivos APK comprometidos. Esses aplicativos não estão disponíveis em lojas de aplicativos legítimas, tornando a instalação manual de fontes de terceiros uma exigência.
A campanha, identificada pela primeira vez em junho de 2025 e que se acredita estar ativa desde 2024, utiliza sites que se passam por Signal e ToTok para oferecer arquivos APK com armadilhas. Esses arquivos são apresentados enganosamente como atualizações, incluindo nomes como Signal Encryption Plugin e ToTok Pro.
Contexto histórico: por que o ToTok foi um alvo
O uso do ToTok como isca é particularmente estratégico. O ToTok foi removido do Google Play e da Apple App Store em dezembro de 2019, em meio a alegações de que funcionava como uma ferramenta de vigilância para o governo dos Emirados Árabes Unidos, coletando conversas, dados de localização e outras informações pessoais dos usuários.
Os desenvolvedores do ToTok negaram consistentemente essas alegações, enquadrando a remoção do aplicativo como manipulação de mercado e afirmando que o software não espiona seus usuários.
Capacidades dos aplicativos maliciosos
Os aplicativos ProSpy são projetados para solicitar permissões abrangentes do dispositivo, incluindo acesso a:
- Contatos
- Mensagens SMS
- Arquivos armazenados no dispositivo
O spyware pode extrair dados confidenciais, incluindo informações do dispositivo, backups de conversas e listas de aplicativos instalados. Pesquisadores também notaram a presença de outra família de spyware para Android operando na região ao mesmo tempo, sugerindo um esforço coordenado de segmentação.
Redirecionamento enganoso para mascarar atividades maliciosas
A campanha inclui táticas inteligentes de redirecionamento que reforçam a legitimidade dos aplicativos:
ToTok Pro
- O aplicativo possui um botão "CONTINUAR", que direciona os usuários para a página oficial de download do ToTok.
- Lançamentos futuros do aplicativo malicioso abrem o aplicativo legítimo ToTok, ocultando efetivamente o spyware.
- Os usuários podem notar dois aplicativos em seus dispositivos (ToTok e ToTok Pro), o que pode ser suspeito.
Plugin de criptografia de sinal
- Este aplicativo inclui um botão "HABILITAR" que guia os usuários para o site oficial do Signal.
- O ícone do aplicativo desonesto é disfarçado como Google Play Services depois que as permissões são concedidas, mascarando ainda mais sua presença.
- Independentemente do aplicativo, a exfiltração de dados ocorre silenciosamente antes que os usuários interajam com os botões de redirecionamento, comprometendo contatos, mensagens, arquivos e outras informações confidenciais.
Impacto regional e implicações de segurança
A campanha ProSpy destaca os riscos de instalar manualmente aplicativos de fontes não oficiais e as ameaças contínuas direcionadas a usuários nos Emirados Árabes Unidos. Essas campanhas demonstram como os criminosos cibernéticos exploram controvérsias históricas e a confiança em aplicativos populares para se infiltrar em dispositivos e roubar dados.
