Исследователи компании ESET обнаружили две семейства Android-шпионских программ, которые маскируются под мессенджеры Signal и ToTok, и нацелены на жителей Объединённых Арабских Эмиратов. Впервые выявленные в июне, эти кампании, названные ProSpy и ToSpy, предположительно действуют с прошлого года. ProSpy имитировало как Signal, так и ToTok, в то время как ToSpy подделывалось исключительно под ToTok.
Интересно отметить, что ToTok был закрыт в 2020 году после сообщений о его использовании правительством ОАЭ в качестве наблюдательного инструмента. Однако шпионское ПО притворялось улучшенной версией — ToTok Pro. После установки эти программы запрашивали разрешения для доступа к контактам, текстовым сообщениям и сохранённым файлам. При предоставлении доступа они могли извлекать не только их, но также информацию об устройстве, аудио, видео, изображения и резервные копии чатов.
Методы распространения и признаки активности
Обе программы не распространялись через официальные магазины приложений. Вместо этого их установка требовала загрузки вручную с сайтов, имитирующих легитимные сервисы. Один из таких сайтов притворялся Samsung Galaxy Store, чтобы уговорами заставить пользователей установить вредоносную версию ToTok. Подтверждённые случаи обнаружения в ОАЭ, использование методов фишинга и поддельных магазинов приложений, а также наличие домена ae.net свидетельствуют о том, что операции были сосредоточены в регионе и нацелены на жителей ОАЭ, заботящихся о своей конфиденциальности.
ESET отмечает, что эти кампании укладываются в общую тенденцию использования поддельных мессенджеров для распространения Android-вредоносного ПО. Такие программы, как шпионское ПО, представляют собой значительную угрозу для пользователей, и обнаружение этих кампаний подчеркивает важность бдительности и использования только официальных магазинов приложений для загрузки программного обеспечения.
