Исследователи безопасности компании ESET обнаружили две новые кампании шпионского ПО, нацеленные на пользователей, ищущих безопасные мессенджеры, такие как Signal и ToTok. Атаки осуществлялись благодаря методам социальной инженерии и поддельным веб-сайтам, имитирующим легитимные сервисы.
Маскировка под обновления и имитация официальных приложений
Две шпионские семьи, названные Android/Spy.ProSpy и Android/Spy.ToSpy, распространяются под видом обновлений или дополнений для Signal и ToTok, с последним использующим устаревшую репутацию приложения ToTok. Пользователи могут заблуждаться, считая, что они загружают безопасное обновление, когда на самом деле устанавливают вредоносное ПО.
Обе программы не доступны в официальных магазинах приложений и требуют ручной установки через сторонние сайты. Один из таких сайтов имитировал Samsung Galaxy Store, чтобы заманить пользователей в ловушку и заставить установить вредоносное приложение ToTok. Обнаруженные случаи заражения в ОАЭ и использование фишинга указывают на региональную направленность атак.
Подробности операций
ESET выявила активность шпионского ПО ProSpy начиная с 2024 года и предполагает, что ToSpy действует с середины 2022 года. Запущенные приложения запрашивают доступ к контактам, SMS и файлам на устройстве. Если доступ предоставлен, программы работают в фоновом режиме, эксфильтруя данные о устройстве, резервные копии чатов, изображения, аудио, видео и другие файлы.
- Шпионское ПО притворяется легитимным приложением.
- Программы запросывают доступ к конфиденциальной информации.
- Операции направлены преимущественно на регион ОАЭ.
Исследователь компании ESET Štefanko настаивает на том, чтобы пользователи проявляли осторожность при загрузке приложений из неофициальных источников и избегали включения установки из неизвестных источников на своих устройствах.
