Spyware-ul ProSpy
Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată de spyware pentru Android, cunoscută sub numele de ProSpy, care vizează în mod specific utilizatorii din Emiratele Arabe Unite (EAU) prin uzurparea identității aplicațiilor de mesagerie populare, precum Signal și ToTok. Campania se bazează pe tactici înșelătoare pentru a păcăli utilizatorii să instaleze software rău intenționat, ocolind magazinele oficiale de aplicații.
Cuprins
Cum se răspândește ProSpy
Malware-ul ProSpy este distribuit prin intermediul unor site-uri web false și tehnici de inginerie socială, încurajând utilizatorii să descarce și să instaleze manual fișiere APK compromise. Aceste aplicații nu sunt disponibile în magazine de aplicații legitime, ceea ce face ca instalarea manuală din surse terțe să fie obligatorie.
Campania, identificată inițial în iunie 2025 și despre care se crede că este activă din 2024, folosește site-uri web deghizate în Signal și ToTok pentru a oferi fișiere APK cu capcane. Aceste fișiere sunt prezentate în mod înșelător ca upgrade-uri, inclusiv sub denumiri precum Signal Encryption Plugin și ToTok Pro.
Context istoric: De ce ToTok a fost o țintă
Utilizarea ToTok ca momeală este deosebit de strategică. ToTok a fost eliminat de pe Google Play și Apple App Store în decembrie 2019 pe fondul acuzațiilor că ar funcționa ca un instrument de supraveghere pentru guvernul Emiratelor Arabe Unite, colectând conversațiile utilizatorilor, date de localizare și alte informații personale.
Dezvoltatorii ToTok au negat în mod constant aceste afirmații, încadrând eliminarea aplicației drept manipulare a pieței și afirmând că software-ul nu își spionează utilizatorii.
Capacitățile aplicațiilor rău intenționate
Aplicațiile ProSpy sunt concepute să solicite permisiuni extinse pentru dispozitive, inclusiv acces la:
- Contacte
- Mesaje SMS
- Fișierele stocate pe dispozitiv
Programul spyware poate exfiltra date sensibile, inclusiv informații despre dispozitiv, copii de rezervă ale chat-urilor și liste de aplicații instalate. Cercetătorii au observat, de asemenea, prezența unei alte familii de programe spyware pentru Android care operează în regiune în același timp, ceea ce sugerează un efort coordonat de direcționare.
Redirecționare înșelătoare pentru mascarea activității rău intenționate
Campania include tactici inteligente de redirecționare care consolidează legitimitatea aplicațiilor:
ToTok Pro
- Aplicația dispune de un buton „CONTINUARE”, care direcționează utilizatorii către pagina oficială de descărcare ToTok.
- Lansările viitoare ale aplicației rău intenționate deschid aplicația legitimă ToTok, ascunzând efectiv programul spyware.
- Utilizatorii pot observa două aplicații pe dispozitivul lor (ToTok și ToTok Pro), care ar putea fi suspecte.
Plugin de criptare a semnalului
- Această aplicație include un buton „ACTIVARE” care ghidează utilizatorii către site-ul oficial Signal.
- Pictograma aplicației necinstite este deghizată în Servicii Google Play după acordarea permisiunilor, maschându-i și mai mult prezența.
- Indiferent de aplicație, exfiltrarea datelor are loc silențios înainte ca utilizatorii să interacționeze cu butoanele de redirecționare, compromițând contactele, mesajele, fișierele și alte informații sensibile.
Impact regional și implicații de securitate
Campania ProSpy evidențiază riscurile instalării manuale a aplicațiilor din surse neoficiale și amenințările continue care vizează utilizatorii din Emiratele Arabe Unite. Astfel de campanii demonstrează modul în care infractorii cibernetici exploatează atât controversele istorice, cât și încrederea în aplicațiile populare pentru a se infiltra în dispozitive și a fura date.
