Исследователи из ESET выявили две сложные кампании шпионского ПО на платформе Android, которые пытаются обмануть пользователей приложений для безопасной связи Signal и ToTok. Эти операции в основном нацелены на жителей Объединенных Арабских Эмиратов (ОАЭ), используя поддельные веб-сайты и методы социальной инженерии для распространения ранее не документированных семейств вредоносного ПО.
Цели и методы атак
В ходе расследования были выявлены два отдельных семейства Android шпионского ПО: Android/Spy.ProSpy и Android/Spy.ToSpy. Прошу обратить внимание, что они маскируются под обновления или плагины для Signal и ToTok. Приложения не были доступны в официальных магазинах; жертвам приходилось вручную устанавливать APK-файлы с сайтов третьих лиц.
Распределение ProSpy происходило через фишинговые сайты, такие как signal.ct[.]ws и encryption-plug-in-signal.com-ae[.]net, а также через поддельный плагин шифрования Signal, требующий включения установки из неизвестных источников. Также использовался поддельный сайт, имитирующий Samsung Galaxy Store, чтобы заставить пользователей установить вредоносное приложение ToTok.
Характеристики вредоносных приложений
ProSpy, обнаруженный в июне 2025 года, но активный с 2024 года, распространяет APK-файлы в виде "Signal Encryption Plugin" и "ToTok Pro." После установки приложения запрашивают обширные разрешения для доступа к контактам, SMS и файлам устройства, начиная тайную передачу данных. Плагин Signal меняет свой внешний вид, чтобы напоминать "PlayServices," отвлекая пользователей на легальные сервисы для маскировки своего присутствия.
ToSpy демонстрирует нацеленную региональную активность, с подтвержденными случаями в ОАЭ. Исследователи обнаружили шесть образцов ToSpy с идентичным вредоносным кодом и сертификатами разработчиков, что указывает на одного злоумышленника; имеются свидетельства активности с середины 2022 года. ToSpy специально атакует резервные файлы ToTok с расширением .ttkmbackup, извлекая историю чатов и данные приложений.
Защита и предотвращение
Оба семейства систематически извлекают информацию об устройстве, хранящиеся SMS-сообщения, списки контактов и файлы, включая документы, изображения, видео и архивы. Они поддерживают устойчивость через фоновые сервисы, менеджеры сигналов и механизмы перезагрузки. ToSpy шифрует извлеченные данные с использованием AES-CBC с жестко закодированным ключом перед передачей на серверы управления. Один и тот же ключ используется во всех выявленных образцах.
Google Play Protect защищает от известных версий этого шпионского ПО; ESET передала свои находки Google через альянс App Defense. Пользователи должны избегать установки приложений из неофициальных источников и отключить опцию "неизвестные источники." Такова реальная угроза, демонстрирующая развитие мобильного шпионского ПО и необходимость осторожности при загрузке приложений для связи, особенно в регионах, где такие приложения могут быть ограничены или недоступны через официальные каналы.
