Шпигунське програмне забезпечення ProSpy
Дослідники з кібербезпеки виявили складну шпигунську кампанію для Android під назвою ProSpy, яка спеціально націлена на користувачів в Об'єднаних Арабських Еміратах (ОАЕ), видаючи себе за популярні месенджери, такі як Signal та ToTok. Кампанія використовує оманливу тактику, щоб обманом змусити користувачів встановити шкідливе програмне забезпечення, обходячи офіційні магазини додатків.
Зміст
Як поширюється ProSpy
Шкідливе програмне забезпечення ProSpy поширюється через фальшиві веб-сайти та методи соціальної інженерії, спонукаючи користувачів вручну завантажувати та встановлювати скомпрометовані APK-файли. Ці програми недоступні в легітимних магазинах додатків, що робить обов'язковим ручне встановлення зі сторонніх джерел.
Кампанія, вперше виявлена в червні 2025 року та, як вважається, активна з 2024 року, використовує веб-сайти, що маскуються під Signal та ToTok, для пропонування захисних APK-файлів. Ці файли оманливо подаються як оновлення, зокрема під такими назвами, як Signal Encryption Plugin та ToTok Pro.
Історичний контекст: чому ToTok був мішенню
Використання ToTok як приманки є особливо стратегічним. ToTok було видалено з Google Play та Apple App Store у грудні 2019 року через звинувачення в тому, що він функціонував як інструмент стеження для уряду ОАЕ, збираючи розмови користувачів, дані про місцезнаходження та іншу особисту інформацію.
Розробники ToTok послідовно заперечують ці твердження, називаючи видалення програми маніпуляцією ринком та стверджуючи, що програмне забезпечення не шпигує за своїми користувачами.
Можливості шкідливих програм
Програми ProSpy розроблені для запиту розширених дозволів пристрою, включаючи доступ до:
- Контакти
- SMS-повідомлення
- Файли, що зберігаються на пристрої
Шпигунське програмне забезпечення може викрадати конфіденційні дані, включаючи інформацію про пристрій, резервні копії чатів та списки встановлених програм. Дослідники також відзначили наявність іншого сімейства шпигунських програм для Android, що працювало в регіоні одночасно, що свідчить про скоординовані зусилля з їх атаки.
Оманливе перенаправлення для маскування шкідливої активності
Кампанія включає розумні тактики перенаправлення, які підсилюють легітимність додатків:
ToTok Pro
- У додатку є кнопка «ПРОДОВЖИТИ», яка перенаправляє користувачів на офіційну сторінку завантаження ToTok.
- Майбутні запуски шкідливого додатку відкривають легітимний додаток ToTok, ефективно приховуючи шпигунське програмне забезпечення.
- Користувачі можуть помітити два додатки на своєму пристрої (ToTok та ToTok Pro), які можуть бути підозрілими.
Плагін шифрування сигналу
- Цей додаток містить кнопку «УВІМК.», яка перенаправляє користувачів на офіційний веб-сайт Signal.
- Значок шахрайської програми маскується під Сервіси Google Play після надання дозволів, що ще більше приховує її присутність.
- Незалежно від програми, витік даних відбувається непомітно, ще до того, як користувачі натиснуть кнопки перенаправлення, що призводить до втрати контактів, повідомлень, файлів та іншої конфіденційної інформації.
Регіональний вплив та наслідки для безпеки
Кампанія ProSpy підкреслює ризики ручного встановлення програм з неофіційних джерел та постійні загрози, спрямовані на користувачів в ОАЕ. Такі кампанії демонструють, як кіберзлочинці використовують як історичні суперечки, так і довіру до популярних програм для проникнення на пристрої та крадіжки даних.
