Phần mềm gián điệp ProSpy

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm gián điệp Android tinh vi có tên ProSpy, nhắm mục tiêu cụ thể vào người dùng tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) bằng cách mạo danh các ứng dụng nhắn tin phổ biến như Signal và ToTok. Chiến dịch này sử dụng các thủ thuật lừa đảo để lừa người dùng cài đặt phần mềm độc hại, bỏ qua các cửa hàng ứng dụng chính thức.

ProSpy lây lan như thế nào

Phần mềm độc hại ProSpy được phát tán thông qua các trang web giả mạo và các kỹ thuật tấn công mạng xã hội, khuyến khích người dùng tải xuống và cài đặt thủ công các tệp APK bị xâm phạm. Các ứng dụng này không có sẵn trên các cửa hàng ứng dụng hợp pháp, khiến việc cài đặt thủ công từ các nguồn của bên thứ ba trở thành bắt buộc.

Chiến dịch này, lần đầu tiên được phát hiện vào tháng 6 năm 2025 và được cho là đã hoạt động từ năm 2024, sử dụng các trang web giả mạo Signal và ToTok để cung cấp các tệp APK có cài bẫy. Các tệp này được trình bày một cách sai lệch dưới dạng các bản nâng cấp, bao gồm các tên như Signal Encryption Plugin và ToTok Pro.

Bối cảnh lịch sử: Tại sao ToTok lại là mục tiêu

Việc sử dụng ToTok như một mồi nhử đặc biệt mang tính chiến lược. ToTok đã bị xóa khỏi Google Play và Apple App Store vào tháng 12 năm 2019 do những cáo buộc rằng ứng dụng này hoạt động như một công cụ giám sát cho chính phủ UAE, thu thập các cuộc trò chuyện, dữ liệu vị trí và thông tin cá nhân khác của người dùng.

Các nhà phát triển ToTok liên tục phủ nhận những tuyên bố này, cho rằng việc xóa ứng dụng là hành vi thao túng thị trường và khẳng định rằng phần mềm không theo dõi người dùng.

Khả năng của các ứng dụng độc hại

Các ứng dụng ProSpy được thiết kế để yêu cầu quyền truy cập mở rộng vào thiết bị, bao gồm quyền truy cập vào:

• Liên hệ
• Tin nhắn SMS
• Các tập tin được lưu trữ trên thiết bị

Phần mềm gián điệp này có thể đánh cắp dữ liệu nhạy cảm, bao gồm thông tin thiết bị, bản sao lưu trò chuyện và danh sách các ứng dụng đã cài đặt. Các nhà nghiên cứu cũng ghi nhận sự hiện diện của một họ phần mềm gián điệp Android khác đang hoạt động trong khu vực cùng lúc, cho thấy một nỗ lực nhắm mục tiêu có phối hợp.

Chuyển hướng lừa đảo để che giấu hoạt động độc hại

Chiến dịch bao gồm các chiến thuật chuyển hướng thông minh nhằm củng cố tính hợp pháp của ứng dụng:

ToTok Pro

• Ứng dụng có nút 'TIẾP TỤC', đưa người dùng đến trang tải xuống ToTok chính thức.

• Các phiên bản ứng dụng độc hại tiếp theo sẽ mở ứng dụng ToTok hợp pháp, che giấu phần mềm gián điệp một cách hiệu quả.

• Người dùng có thể nhận thấy hai ứng dụng trên thiết bị của mình (ToTok và ToTok Pro), điều này có thể đáng ngờ.

Plugin mã hóa tín hiệu

• Ứng dụng này có nút 'BẬT' hướng dẫn người dùng đến trang web chính thức của Signal.
• Biểu tượng ứng dụng giả mạo được ngụy trang thành Dịch vụ Google Play sau khi được cấp quyền, qua đó che giấu sự hiện diện của ứng dụng.
• Bất kể ứng dụng nào, việc đánh cắp dữ liệu đều diễn ra âm thầm trước khi người dùng tương tác với các nút chuyển hướng, làm lộ danh bạ, tin nhắn, tệp và các thông tin nhạy cảm khác.

Tác động khu vực và ý nghĩa an ninh

Chiến dịch ProSpy nêu bật những rủi ro khi cài đặt thủ công các ứng dụng từ các nguồn không chính thức và các mối đe dọa đang diễn ra nhắm vào người dùng tại UAE. Các chiến dịch như vậy cho thấy tội phạm mạng lợi dụng cả những tranh cãi trong lịch sử và lòng tin vào các ứng dụng phổ biến để xâm nhập vào thiết bị và đánh cắp dữ liệu.