Vohunska programska oprema ProSpy
Raziskovalci kibernetske varnosti so odkrili sofisticirano kampanjo vohunske programske opreme za Android, znano kot ProSpy, ki cilja na uporabnike v Združenih arabskih emiratih (ZAE) tako, da se izdaja za priljubljene aplikacije za sporočanje, kot sta Signal in ToTok. Kampanja se zanaša na zavajajoče taktike, s katerimi uporabnike zavede v namestitev zlonamerne programske opreme, pri čemer zaobide uradne trgovine z aplikacijami.
Kazalo
Kako se ProSpy širi
Zlonamerna programska oprema ProSpy se širi prek lažnih spletnih mest in tehnik socialnega inženiringa ter uporabnike spodbuja k ročnemu prenosu in namestitvi ogroženih datotek APK. Te aplikacije niso na voljo v legitimnih trgovinah z aplikacijami, zato je potrebna ročna namestitev iz virov tretjih oseb.
Kampanja, ki je bila prvič odkrita junija 2025 in naj bi bila aktivna od leta 2024, uporablja spletna mesta, ki se maskirajo kot Signal in ToTok, da bi ponudila zaslepljene datoteke APK. Te datoteke so zavajajoče predstavljene kot nadgradnje, vključno z imeni, kot sta Signal Encryption Plugin in ToTok Pro.
Zgodovinski kontekst: Zakaj je bil ToTok tarča
Uporaba ToToka kot vabe je še posebej strateška. ToTok je bil decembra 2019 odstranjen iz trgovin Google Play in Apple App Store zaradi obtožb, da je deloval kot orodje za nadzor vlade ZAE, saj je zbiral pogovore uporabnikov, podatke o lokaciji in druge osebne podatke.
Razvijalci aplikacije ToTok so te trditve dosledno zanikali, odstranitev aplikacije pa so označili za tržno manipulacijo in zatrdili, da programska oprema ne vohuni za svojimi uporabniki.
Zmogljivosti zlonamernih aplikacij
Aplikacije ProSpy so zasnovane tako, da zahtevajo obsežna dovoljenja naprave, vključno z dostopom do:
- Stiki
- SMS sporočila
- Datoteke, shranjene v napravi
Vohunska programska oprema lahko ukrade občutljive podatke, vključno s podatki o napravi, varnostnimi kopijami klepetov in seznami nameščenih aplikacij. Raziskovalci so opazili tudi prisotnost druge družine vohunske programske opreme za Android, ki deluje v regiji hkrati, kar kaže na usklajeno prizadevanje za ciljanje.
Zavajajoča preusmeritev za prikrivanje zlonamerne dejavnosti
Kampanja vključuje pametne taktike preusmerjanja, ki krepijo legitimnost aplikacij:
ToTok Pro
- Aplikacija ima gumb »NADALJUJ«, ki uporabnike usmeri na uradno stran za prenos ToToka.
- Prihodnje zagone zlonamerne aplikacije odprejo legitimno aplikacijo ToTok in učinkovito prikrijejo vohunsko programsko opremo.
- Uporabniki lahko na svoji napravi opazijo dve aplikaciji (ToTok in ToTok Pro), ki bi lahko bili sumljivi.
Vtičnik za šifriranje signalov
- Ta aplikacija vključuje gumb »OMOGOŠČI«, ki uporabnike vodi na uradno spletno mesto Signal.
- Ikona prevarantske aplikacije je po odobritvi dovoljenj prikrita kot Storitve Google Play, kar še dodatno prikriva njeno prisotnost.
- Ne glede na aplikacijo se izkrcanje podatkov zgodi tiho, še preden uporabniki pritisnejo gumbe za preusmeritev, s čimer se ogrozijo stiki, sporočila, datoteke in druge občutljive informacije.
Regionalni vpliv in varnostne posledice
Kampanja ProSpy poudarja tveganja ročnega nameščanja aplikacij iz neuradnih virov in nenehne grožnje, ki so usmerjene proti uporabnikom v ZAE. Takšne kampanje prikazujejo, kako kibernetski kriminalci izkoriščajo tako zgodovinske polemike kot zaupanje v priljubljene aplikacije za infiltracijo v naprave in krajo podatkov.
