Исследователи компании ESET обнаружили две кампании шпионского ПО для устройств на Android, которые ориентированы на пользователей, ищущих защищенные мессенджеры, такие как Signal и ToTok. Злоумышленники распространяют шпионское ПО через поддельные веб-сайты и методы социальной инженерии, вводя пользователей в заблуждение.
Имитация надежных приложений
Spyware Android/Spy.ProSpy маскируется под обновления или дополнения для приложения Signal и ранее популярного ToTok, тогда как Android/Spy.ToSpy выдает себя за полноценное приложение ToTok. Кампания ToSpy продолжает действовать, поскольку её командные серверы остаются в сети, что позволяет злоумышленникам постоянно осуществлять удаленный контроль над заражёнными устройствами.
Официально вредоносные приложения не доступны в магазинах приложений, что заставляет пользователей загружать и устанавливать их вручную из сторонних источников, выдающих себя за авторитетные сервисы, такие как Samsung Galaxy Store. После установки, оба семейства шпионского ПО поддерживают постоянный доступ к устройствам, периодически похищая конфиденциальные данные.
Целенаправленная атакующая стратегия
Кампания ProSpy была обнаружена в июне 2025 года, однако следовательская деятельность свидетельствует о её существовании с 2024 года. Злоумышленники используют поддельные веб-сайты, имитирующие Signal и ToTok, которые якобы предлагают безопасные обновления Signal Encryption Plugin и ToTok Pro. Использование доменов с расширением ae.net намекает на возможную нацеленность на пользователей из Объединенных Арабских Эмиратов.
Когда приложение запускается, шпионское ПО запрашивает доступ к контактам, SMS-сообщениям и файлам на устройстве. Если доступ предоставляется, ProSpy в фоновом режиме отправляет данные, включая сведения об устройстве, контакты и чаты. Кампания ToSpy, предположительно начавшаяся в середине 2022 года, аналогичным образом обманывает пользователей через поддельные сайты, выдающие себя за приложение ToTok. При этом шпионский софт активно собирает и отправляет различные данные с устройства.
Рекомендации для пользователей
Штефанко из ESET настоятельно советует пользователям проявлять осторожность при загрузке приложений из неофициальных источников. Он подчеркивает важность отказа от установки программ из неизвестных источников, особенно если они провозглашаются улучшениями для известных и доверенных сервисов.
