ProSpy間諜軟體
網路安全研究人員發現了一個名為 ProSpy 的複雜 Android 間諜軟體活動,該活動專門針對阿拉伯聯合大公國 (UAE) 的用戶,透過冒充 Signal 和 ToTok 等熱門通訊應用程式進行攻擊。該活動依靠欺騙手段誘騙用戶安裝惡意軟體,繞過官方應用程式商店。
目錄
ProSpy如何傳播
ProSpy 惡意軟體透過虛假網站和社會工程技術傳播,誘導使用者手動下載並安裝被感染的 APK 檔案。這些應用程式在合法應用程式商店中無法下載,因此需要從第三方來源手動安裝。
該攻擊活動於 2025 年 6 月首次被發現,據信自 2024 年以來一直活躍,它使用偽裝成 Signal 和 ToTok 的網站來提供帶有陷阱的 APK 檔案。這些檔案被誤導性地顯示為升級程序,包括 Signal 加密插件和 ToTok Pro 等名稱。
歷史背景:ToTok 為何成為攻擊目標
使用 ToTok 作為誘餌尤其具有戰略意義。 2019 年 12 月,ToTok 從 Google Play 和 Apple App Store 下架,原因是有人指控其充當阿聯酋政府的監視工具,收集用戶的對話、位置數據和其他個人資訊。
ToTok 的開發人員一直否認這些說法,並表示該應用程式的下架是市場操縱,並堅稱該軟體不會監視其用戶。
惡意應用程式的功能
ProSpy 應用程式旨在請求廣泛的裝置權限,包括存取:
- 聯絡方式
- 簡訊
- 設備上儲存的文件
該間諜軟體可以竊取敏感數據,包括裝置資訊、聊天備份和已安裝應用程式清單。研究人員還注意到,該地區同時存在另一個 Android 間諜軟體家族,這表明存在協同攻擊行為。
欺騙性重新導向掩蓋惡意活動
該活動包括巧妙的重定向策略,以加強應用程式的合法性:
ToTok 專業版
訊號加密插件
- 該應用程式包含一個「啟用」按鈕,可引導使用者存取 Signal 官方網站。
- 在獲得權限後,惡意應用程式圖示會偽裝成 Google Play 服務,進一步掩蓋其存在。
- 無論使用哪種應用程序,資料外洩都會在用戶與重定向按鈕互動之前悄無聲息地發生,從而危及聯絡人、訊息、文件和其他敏感資訊。
區域影響和安全隱患
ProSpy 活動強調了手動安裝來自非官方來源的應用程式的風險以及針對阿聯酋用戶的持續威脅,此類活動展示了網路犯罪分子如何利用歷史爭議和對流行應用程式的信任來滲透設備並竊取資料。
