Специалисты словацкой компании по кибербезопасности ESET выявили две целенаправленные кампании по распространению шпионского ПО для Android, нацеленные на пользователей в Объединенных Арабских Эмиратах. Исследователь Лукаш Штефанко (Lukáš Štefanko) и его команда назвали эти операции ProSpy и ToSpy. Злоумышленники используют поддельные веб-сайты и методы социальной инженерии для распространения вредоносных приложений, которые маскируются под популярные сервисы, в частности, мессенджеры Signal и ToTok.
Кампания ProSpy, активная с 2024 года и обнаруженная в июне 2024 года, распространяет вредоносные APK-файлы через сайты, имитирующие официальные страницы Signal и ToTok. Пользователям предлагается установить приложения под названием «Signal Encryption Plugin» (Плагин шифрования Signal) и «ToTok Pro», которые преподносятся как необходимые обновления или улучшенные версии легитимных программ.
Вторая кампания, ToSpy, предположительно действует с 30 июня 2022 года и продолжается до сих пор. Для ее распространения используются фальшивые сайты, копирующие официальный ресурс ToTok, а также поддельная страница магазина приложений Samsung Galaxy Store. Основной приманкой в этой кампании служит модифицированная версия приложения ToTok.
Обе шпионские программы начинают кражу данных немедленно после установки, еще до того, как жертва успевает взаимодействовать с интерфейсом приложения, например, нажать на кнопку «ПРОДОЛЖИТЬ» или «ВКЛЮЧИТЬ». После получения необходимых разрешений вредоносное ПО похищает информацию об устройстве, SMS-сообщения, списки контактов, перечень установленных приложений, а также любые файлы, хранящиеся в памяти устройства, включая медиа и другие конфиденциальные данные.
Шпионское ПО ToSpy обладает дополнительной функциональностью: оно целенаправленно ищет и похищает файлы резервных копий данных приложения ToTok, имеющие расширение
Для обмана пользователей применяются изощренные техники. После установки «Signal Encryption Plugin» и нажатия кнопки «ВКЛЮЧИТЬ», приложение перенаправляет пользователя на официальный сайт
Приложение «ToTok Pro» из кампании ProSpy использует схожую тактику. После нажатия кнопки «ПРОДОЛЖИТЬ» пользователь перенаправляется на официальную страницу загрузки ToTok для установки настоящей программы. В дальнейшем, при нажатии на иконку «ToTok Pro», будет запускаться легитимное приложение ToTok, создавая иллюзию нормальной работы. Единственным признаком заражения остается наличие на устройстве двух иконок: «ToTok» и «ToTok Pro».
Вредоносное ПО из кампании ToSpy действует иначе. Если на устройстве жертвы не установлен оригинальный ToTok, программа перенаправляет пользователя в официальный магазин Huawei AppGallery для его скачивания. Если же легитимный ToTok уже установлен, шпионская программа отображает поддельный экран проверки обновлений, после чего запускает настоящее приложение, скрывая свою фоновую активность.
Для обеспечения постоянной работы на зараженном устройстве оба семейства шпионского ПО используют три механизма персистентности. Во-первых, они запускают фоновый сервис (Foreground Service) с постоянным уведомлением, что затрудняет его остановку операционной системой. Во-вторых, используется системный планировщик AlarmManager для автоматического перезапуска сервиса в случае его принудительного завершения. В-третьих, вредоносное ПО настроено на автоматический запуск своих служб при каждой перезагрузке устройства.
Выбор ToTok в качестве приманки не случаен. В декабре 2019 года это приложение было удалено из магазинов Google Play и Apple App Store из-за обвинений в том, что оно являлось инструментом слежки правительства ОАЭ, предназначенным для сбора данных о разговорах и местоположении пользователей. Разработчики ToTok эти обвинения отрицали. Поскольку приложение недоступно в официальных источниках, пользователи вынуждены искать его на сторонних сайтах, что делает их уязвимыми для подобных атак.
На данный момент неизвестно, кто стоит за организацией кампаний ProSpy и ToSpy. Несмотря на схожесть функционала вредоносного ПО, ESET отслеживает их как отдельные операции из-за различий в используемой инфраструктуре и методах распространения. Ни одно из этих вредоносных приложений не было замечено в официальных магазинах, таких как Google Play, Apple App Store, Samsung Galaxy Store или Huawei AppGallery, что подчеркивает опасность загрузки программ из непроверенных источников.
Кампания ProSpy, активная с 2024 года и обнаруженная в июне 2024 года, распространяет вредоносные APK-файлы через сайты, имитирующие официальные страницы Signal и ToTok. Пользователям предлагается установить приложения под названием «Signal Encryption Plugin» (Плагин шифрования Signal) и «ToTok Pro», которые преподносятся как необходимые обновления или улучшенные версии легитимных программ.
Вторая кампания, ToSpy, предположительно действует с 30 июня 2022 года и продолжается до сих пор. Для ее распространения используются фальшивые сайты, копирующие официальный ресурс ToTok, а также поддельная страница магазина приложений Samsung Galaxy Store. Основной приманкой в этой кампании служит модифицированная версия приложения ToTok.
Обе шпионские программы начинают кражу данных немедленно после установки, еще до того, как жертва успевает взаимодействовать с интерфейсом приложения, например, нажать на кнопку «ПРОДОЛЖИТЬ» или «ВКЛЮЧИТЬ». После получения необходимых разрешений вредоносное ПО похищает информацию об устройстве, SMS-сообщения, списки контактов, перечень установленных приложений, а также любые файлы, хранящиеся в памяти устройства, включая медиа и другие конфиденциальные данные.
Шпионское ПО ToSpy обладает дополнительной функциональностью: оно целенаправленно ищет и похищает файлы резервных копий данных приложения ToTok, имеющие расширение
.ttkmbackup. Это позволяет злоумышленникам получать доступ к архивам переписки и другой информации, связанной с использованием мессенджера. Для обмана пользователей применяются изощренные техники. После установки «Signal Encryption Plugin» и нажатия кнопки «ВКЛЮЧИТЬ», приложение перенаправляет пользователя на официальный сайт
signal[.]org для загрузки легитимной программы. Сразу после этого иконка вредоносного приложения меняется, маскируясь под системный сервис Google Play Services, что делает его практически незаметным на устройстве. Приложение «ToTok Pro» из кампании ProSpy использует схожую тактику. После нажатия кнопки «ПРОДОЛЖИТЬ» пользователь перенаправляется на официальную страницу загрузки ToTok для установки настоящей программы. В дальнейшем, при нажатии на иконку «ToTok Pro», будет запускаться легитимное приложение ToTok, создавая иллюзию нормальной работы. Единственным признаком заражения остается наличие на устройстве двух иконок: «ToTok» и «ToTok Pro».
Вредоносное ПО из кампании ToSpy действует иначе. Если на устройстве жертвы не установлен оригинальный ToTok, программа перенаправляет пользователя в официальный магазин Huawei AppGallery для его скачивания. Если же легитимный ToTok уже установлен, шпионская программа отображает поддельный экран проверки обновлений, после чего запускает настоящее приложение, скрывая свою фоновую активность.
Для обеспечения постоянной работы на зараженном устройстве оба семейства шпионского ПО используют три механизма персистентности. Во-первых, они запускают фоновый сервис (Foreground Service) с постоянным уведомлением, что затрудняет его остановку операционной системой. Во-вторых, используется системный планировщик AlarmManager для автоматического перезапуска сервиса в случае его принудительного завершения. В-третьих, вредоносное ПО настроено на автоматический запуск своих служб при каждой перезагрузке устройства.
Выбор ToTok в качестве приманки не случаен. В декабре 2019 года это приложение было удалено из магазинов Google Play и Apple App Store из-за обвинений в том, что оно являлось инструментом слежки правительства ОАЭ, предназначенным для сбора данных о разговорах и местоположении пользователей. Разработчики ToTok эти обвинения отрицали. Поскольку приложение недоступно в официальных источниках, пользователи вынуждены искать его на сторонних сайтах, что делает их уязвимыми для подобных атак.
На данный момент неизвестно, кто стоит за организацией кампаний ProSpy и ToSpy. Несмотря на схожесть функционала вредоносного ПО, ESET отслеживает их как отдельные операции из-за различий в используемой инфраструктуре и методах распространения. Ни одно из этих вредоносных приложений не было замечено в официальных магазинах, таких как Google Play, Apple App Store, Samsung Galaxy Store или Huawei AppGallery, что подчеркивает опасность загрузки программ из непроверенных источников.