Как поддельные обновления Signal и ToTok крадут все данные с телефонов в ОАЭ?

Специалисты словацкой компании по кибербезопасности ESET выявили две целенаправленные кампании по распространению шпионского ПО для Android, нацеленные на пользователей в Объединенных Арабских Эмиратах. Исследователь Лукаш Штефанко (Lukáš Štefanko) и его команда назвали эти операции ProSpy и ToSpy. Злоумышленники используют поддельные веб-сайты и методы социальной инженерии для распространения вредоносных приложений, которые маскируются под популярные сервисы, в частности, мессенджеры Signal и ToTok.
Как поддельные обновления Signal и ToTok крадут все данные с телефонов в ОАЭ?
Изображение носит иллюстративный характер

Кампания ProSpy, активная с 2024 года и обнаруженная в июне 2024 года, распространяет вредоносные APK-файлы через сайты, имитирующие официальные страницы Signal и ToTok. Пользователям предлагается установить приложения под названием «Signal Encryption Plugin» (Плагин шифрования Signal) и «ToTok Pro», которые преподносятся как необходимые обновления или улучшенные версии легитимных программ.

Вторая кампания, ToSpy, предположительно действует с 30 июня 2022 года и продолжается до сих пор. Для ее распространения используются фальшивые сайты, копирующие официальный ресурс ToTok, а также поддельная страница магазина приложений Samsung Galaxy Store. Основной приманкой в этой кампании служит модифицированная версия приложения ToTok.

Обе шпионские программы начинают кражу данных немедленно после установки, еще до того, как жертва успевает взаимодействовать с интерфейсом приложения, например, нажать на кнопку «ПРОДОЛЖИТЬ» или «ВКЛЮЧИТЬ». После получения необходимых разрешений вредоносное ПО похищает информацию об устройстве, SMS-сообщения, списки контактов, перечень установленных приложений, а также любые файлы, хранящиеся в памяти устройства, включая медиа и другие конфиденциальные данные.

Шпионское ПО ToSpy обладает дополнительной функциональностью: оно целенаправленно ищет и похищает файлы резервных копий данных приложения ToTok, имеющие расширение .ttkmbackup. Это позволяет злоумышленникам получать доступ к архивам переписки и другой информации, связанной с использованием мессенджера.

Для обмана пользователей применяются изощренные техники. После установки «Signal Encryption Plugin» и нажатия кнопки «ВКЛЮЧИТЬ», приложение перенаправляет пользователя на официальный сайт signal[.]org для загрузки легитимной программы. Сразу после этого иконка вредоносного приложения меняется, маскируясь под системный сервис Google Play Services, что делает его практически незаметным на устройстве.

Приложение «ToTok Pro» из кампании ProSpy использует схожую тактику. После нажатия кнопки «ПРОДОЛЖИТЬ» пользователь перенаправляется на официальную страницу загрузки ToTok для установки настоящей программы. В дальнейшем, при нажатии на иконку «ToTok Pro», будет запускаться легитимное приложение ToTok, создавая иллюзию нормальной работы. Единственным признаком заражения остается наличие на устройстве двух иконок: «ToTok» и «ToTok Pro».

Вредоносное ПО из кампании ToSpy действует иначе. Если на устройстве жертвы не установлен оригинальный ToTok, программа перенаправляет пользователя в официальный магазин Huawei AppGallery для его скачивания. Если же легитимный ToTok уже установлен, шпионская программа отображает поддельный экран проверки обновлений, после чего запускает настоящее приложение, скрывая свою фоновую активность.

Для обеспечения постоянной работы на зараженном устройстве оба семейства шпионского ПО используют три механизма персистентности. Во-первых, они запускают фоновый сервис (Foreground Service) с постоянным уведомлением, что затрудняет его остановку операционной системой. Во-вторых, используется системный планировщик AlarmManager для автоматического перезапуска сервиса в случае его принудительного завершения. В-третьих, вредоносное ПО настроено на автоматический запуск своих служб при каждой перезагрузке устройства.

Выбор ToTok в качестве приманки не случаен. В декабре 2019 года это приложение было удалено из магазинов Google Play и Apple App Store из-за обвинений в том, что оно являлось инструментом слежки правительства ОАЭ, предназначенным для сбора данных о разговорах и местоположении пользователей. Разработчики ToTok эти обвинения отрицали. Поскольку приложение недоступно в официальных источниках, пользователи вынуждены искать его на сторонних сайтах, что делает их уязвимыми для подобных атак.

На данный момент неизвестно, кто стоит за организацией кампаний ProSpy и ToSpy. Несмотря на схожесть функционала вредоносного ПО, ESET отслеживает их как отдельные операции из-за различий в используемой инфраструктуре и методах распространения. Ни одно из этих вредоносных приложений не было замечено в официальных магазинах, таких как Google Play, Apple App Store, Samsung Galaxy Store или Huawei AppGallery, что подчеркивает опасность загрузки программ из непроверенных источников.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка