ProSpy Spyware

นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบแคมเปญสปายแวร์บนแอนดรอยด์ที่ซับซ้อนที่รู้จักกันในชื่อ ProSpy ซึ่งมุ่งเป้าไปที่ผู้ใช้ในสหรัฐอาหรับเอมิเรตส์ (UAE) โดยเฉพาะ โดยการปลอมตัวเป็นแอปส่งข้อความยอดนิยมอย่าง Signal และ ToTok แคมเปญนี้ใช้กลวิธีหลอกลวงเพื่อหลอกให้ผู้ใช้ติดตั้งซอฟต์แวร์อันตราย โดยเลี่ยงร้านค้าแอปอย่างเป็นทางการ

ProSpy แพร่กระจายอย่างไร

มัลแวร์ ProSpy แพร่กระจายผ่านเว็บไซต์ปลอมและเทคนิคทางวิศวกรรมสังคม ชักจูงให้ผู้ใช้ดาวน์โหลดและติดตั้งไฟล์ APK ที่ถูกบุกรุกด้วยตนเอง แอปเหล่านี้ไม่มีให้บริการใน App Store ที่ถูกต้องตามกฎหมาย ทำให้จำเป็นต้องติดตั้งด้วยตนเองจากแหล่งอื่น

แคมเปญนี้ซึ่งระบุตัวตนครั้งแรกในเดือนมิถุนายน 2568 และเชื่อว่าเริ่มดำเนินการมาตั้งแต่ปี 2567 ใช้เว็บไซต์ที่ปลอมตัวเป็น Signal และ ToTok เพื่อนำเสนอไฟล์ APK ที่มีกับดัก ไฟล์เหล่านี้ถูกนำเสนออย่างเข้าใจผิดว่าเป็นการอัปเกรด รวมถึงชื่อต่างๆ เช่น Signal Encryption Plugin และ ToTok Pro

บริบททางประวัติศาสตร์: เหตุใด ToTok จึงเป็นเป้าหมาย

การใช้ ToTok เป็นเครื่องมือล่อลวงถือเป็นกลยุทธ์ที่ชาญฉลาดอย่างยิ่ง ToTok ถูกลบออกจาก Google Play และ Apple App Store ในเดือนธันวาคม 2019 ท่ามกลางข้อกล่าวหาว่า ToTok ทำหน้าที่เป็นเครื่องมือเฝ้าระวังของรัฐบาลสหรัฐอาหรับเอมิเรตส์ โดยเก็บรวบรวมบทสนทนาของผู้ใช้ ข้อมูลตำแหน่ง และข้อมูลส่วนบุคคลอื่นๆ

นักพัฒนา ToTok ปฏิเสธข้อกล่าวอ้างเหล่านี้อย่างต่อเนื่อง โดยกล่าวหาว่าการลบแอปดังกล่าวเป็นการจัดการตลาด และยืนยันว่าซอฟต์แวร์ไม่ได้สอดส่องผู้ใช้

ความสามารถของแอปที่เป็นอันตราย

แอป ProSpy ได้รับการออกแบบมาเพื่อขออนุญาตอุปกรณ์อย่างครอบคลุม รวมถึงการเข้าถึง:

• ติดต่อเรา
• ข้อความ SMS
• ไฟล์ที่เก็บไว้ในอุปกรณ์

สปายแวร์สามารถขโมยข้อมูลสำคัญได้ ซึ่งรวมถึงข้อมูลอุปกรณ์ การสำรองข้อมูลแชท และรายการแอปพลิเคชันที่ติดตั้ง นักวิจัยยังสังเกตเห็นว่ามีสปายแวร์แอนดรอยด์อีกตระกูลหนึ่งปฏิบัติการอยู่ในภูมิภาคนี้ในเวลาเดียวกัน ซึ่งบ่งชี้ถึงความพยายามในการกำหนดเป้าหมายร่วมกัน

การเปลี่ยนเส้นทางที่หลอกลวงเพื่อปกปิดกิจกรรมที่เป็นอันตราย

แคมเปญนี้ประกอบด้วยกลยุทธ์การเปลี่ยนเส้นทางอันชาญฉลาดที่เสริมสร้างความชอบธรรมของแอป:

โตต๊อก โปร

• แอปนี้มีปุ่ม 'ดำเนินการต่อ' ซึ่งจะนำผู้ใช้ไปยังหน้าดาวน์โหลด ToTok อย่างเป็นทางการ

• การเปิดตัวแอปที่เป็นอันตรายในอนาคตจะเปิดแอป ToTok ที่ถูกกฎหมาย ซึ่งปกปิดสปายแวร์ได้อย่างมีประสิทธิภาพ

• ผู้ใช้จะสังเกตเห็นแอปสองตัวบนอุปกรณ์ของตน (ToTok และ ToTok Pro) ซึ่งอาจดูน่าสงสัย

ปลั๊กอินการเข้ารหัสสัญญาณ

• แอปนี้มีปุ่ม 'เปิดใช้งาน' ที่จะนำผู้ใช้ไปยังเว็บไซต์ Signal อย่างเป็นทางการ
• ไอคอนแอปปลอมแปลงจะถูกปลอมแปลงเป็น Google Play Services หลังจากได้รับอนุญาต เพื่อปกปิดการมีอยู่ของมันเพิ่มเติม
• ไม่ว่าจะเป็นแอปใดก็ตาม การรั่วไหลของข้อมูลจะเกิดขึ้นอย่างเงียบๆ ก่อนที่ผู้ใช้จะโต้ตอบกับปุ่มเปลี่ยนเส้นทาง ส่งผลให้ข้อมูลติดต่อ ข้อความ ไฟล์ และข้อมูลสำคัญอื่นๆ ได้รับผลกระทบ

ผลกระทบระดับภูมิภาคและผลกระทบด้านความมั่นคง

แคมเปญ ProSpy เน้นย้ำถึงความเสี่ยงของการติดตั้งแอปด้วยตนเองจากแหล่งที่ไม่เป็นทางการและภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องซึ่งมุ่งเป้าไปที่ผู้ใช้ในสหรัฐอาหรับเอมิเรตส์ แคมเปญดังกล่าวแสดงให้เห็นว่าผู้ก่ออาชญากรรมทางไซเบอร์ใช้ประโยชน์จากทั้งข้อโต้แย้งทางประวัติศาสตร์และความไว้วางใจในแอปยอดนิยมเพื่อแทรกซึมอุปกรณ์และขโมยข้อมูล