ProSpy间谍软件
网络安全研究人员发现了一个名为 ProSpy 的复杂 Android 间谍软件活动,该活动专门针对阿拉伯联合酋长国 (UAE) 的用户,通过冒充 Signal 和 ToTok 等热门通讯应用程序进行攻击。该活动依靠欺骗手段诱骗用户安装恶意软件,绕过官方应用商店。
目录
ProSpy如何传播
ProSpy 恶意软件通过虚假网站和社会工程技术进行传播,诱导用户手动下载并安装被感染的 APK 文件。这些应用程序在合法应用商店中无法下载,因此需要从第三方来源手动安装。
该攻击活动于 2025 年 6 月首次被发现,据信自 2024 年以来一直活跃,它使用伪装成 Signal 和 ToTok 的网站来提供带有陷阱的 APK 文件。这些文件被误导性地显示为升级程序,包括 Signal 加密插件和 ToTok Pro 等名称。
历史背景:ToTok 为何成为攻击目标
使用 ToTok 作为诱饵尤其具有战略意义。2019 年 12 月,ToTok 从 Google Play 和 Apple App Store 下架,原因是有人指控其充当阿联酋政府的监视工具,收集用户的对话、位置数据和其他个人信息。
ToTok 的开发人员一直否认这些说法,称该应用程序的下架是市场操纵,并坚称该软件不会监视其用户。
恶意应用程序的功能
ProSpy 应用程序旨在请求广泛的设备权限,包括访问:
- 联系方式
- 短信
- 设备上存储的文件
该间谍软件可以窃取敏感数据,包括设备信息、聊天备份和已安装应用程序列表。研究人员还注意到,该地区同时存在另一个 Android 间谍软件家族,这表明存在协同攻击行为。
欺骗性重定向掩盖恶意活动
该活动包括巧妙的重定向策略,以加强应用程序的合法性:
ToTok 专业版
信号加密插件
- 该应用程序包含一个“启用”按钮,可引导用户访问 Signal 官方网站。
- 在获得权限后,恶意应用程序图标会伪装成 Google Play 服务,进一步掩盖其存在。
- 无论使用哪种应用程序,数据泄露都会在用户与重定向按钮交互之前悄无声息地发生,从而危及联系人、消息、文件和其他敏感信息。
区域影响和安全隐患
ProSpy 活动强调了从非官方来源手动安装应用程序的风险以及针对阿联酋用户的持续威胁,此类活动展示了网络犯罪分子如何利用历史争议和对流行应用程序的信任来渗透设备并窃取数据。
