Шпионское ПО ProSpy
Исследователи кибербезопасности обнаружили сложную кампанию шпионского ПО для Android, известную как ProSpy, которая специально нацелена на пользователей в Объединенных Арабских Эмиратах (ОАЭ), выдавая себя за популярные приложения для обмена сообщениями, такие как Signal и ToTok. В основе кампании лежит обманный метод, позволяющий обманным путём заставить пользователей установить вредоносное ПО, минуя официальные магазины приложений.
Оглавление
Как распространяется ProSpy
Вредоносное ПО ProSpy распространяется через поддельные веб-сайты и методы социальной инженерии, побуждая пользователей вручную загружать и устанавливать взломанные APK-файлы. Эти приложения недоступны в легальных магазинах приложений, поэтому их установка из сторонних источников обязательна.
Кампания, впервые обнаруженная в июне 2025 года и, предположительно, активная с 2024 года, использует веб-сайты, маскирующиеся под Signal и ToTok, для распространения APK-файлов с ловушками. Эти файлы выдаются за обновления, например, под названиями Signal Encryption Plugin и ToTok Pro.
Исторический контекст: почему ToTok стал целью
Использование ToTok в качестве приманки имеет особенно стратегический характер. ToTok был удалён из Google Play и Apple App Store в декабре 2019 года на фоне обвинений в том, что он служил инструментом слежки в пользу правительства ОАЭ, собирая разговоры пользователей, данные о местоположении и другую личную информацию.
Разработчики ToTok последовательно отрицают эти обвинения, называя удаление приложения манипулированием рынком и утверждая, что программное обеспечение не шпионит за своими пользователями.
Возможности вредоносных приложений
Приложения ProSpy разработаны для запроса расширенных разрешений на использование устройства, включая доступ к:
- Контакты
- СМС-сообщения
- Файлы, хранящиеся на устройстве
Шпионское ПО способно похищать конфиденциальные данные, включая информацию об устройствах, резервные копии чатов и списки установленных приложений. Исследователи также отметили присутствие в регионе другого семейства шпионского ПО для Android, функционирующего в то же время, что позволяет предположить скоординированную атаку.
Обманное перенаправление для маскировки вредоносной активности
Кампания включает в себя хитрые приемы перенаправления, которые подкрепляют легитимность приложений:
Тоток Про
- В приложении есть кнопка «ПРОДОЛЖИТЬ», которая направляет пользователей на официальную страницу загрузки ToTok.
- Последующие запуски вредоносного приложения открывают легитимное приложение ToTok, эффективно скрывая шпионское ПО.
- Пользователи могут заметить на своем устройстве два приложения (ToTok и ToTok Pro), которые могут вызывать подозрения.
Плагин шифрования сигналов
- В этом приложении есть кнопка «ВКЛЮЧИТЬ», которая направляет пользователей на официальный сайт Signal.
- После предоставления разрешений значок мошеннического приложения маскируется под Google Play Services, что еще больше скрывает его присутствие.
- Независимо от приложения, кража данных происходит незаметно, еще до того, как пользователи взаимодействуют с кнопками перенаправления, что приводит к утечке контактов, сообщений, файлов и другой конфиденциальной информации.
Региональное воздействие и последствия для безопасности
Кампания ProSpy подчеркивает риски ручной установки приложений из неофициальных источников и постоянные угрозы, направленные на пользователей в ОАЭ. Подобные кампании демонстрируют, как киберпреступники используют как исторические противоречия, так и доверие к популярным приложениям для проникновения на устройства и кражи данных.
