Шпионское ПО, замаскированное под приложения Signal и ToTok, атакует пользователей Android в ОАЭ

Если вы пользуетесь приложениями для обмена сообщениями в Объединенных Арабских Эмиратах ( ОАЭ ), то специалисты по кибербезопасности из компании ESET выявили две кампании мобильных шпионских программ, которые обманом заставляют пользователей устанавливать поддельные версии Signal и ToTok, а затем крадут с зараженных устройств личные данные, включая контакты, сообщения, резервные копии, файлы и многое другое.

Один из видов вредоносного ПО, ProSpy ( Android/Spy.ProSpy ), предлагался как поддельный «плагин шифрования» Signal и как дополнение к ToTok Pro. Другой, ToSpy ( Android/Spy.ToSpy ), выдаёт себя за сам ToTok. Ни одно из этих приложений не представлено в официальных магазинах приложений; жертвам приходится вручную устанавливать APK-файлы с клонированных сайтов или сторонних страниц, имитирующих легитимные сервисы.

Signal, как известно, — популярное приложение для обмена зашифрованными сообщениями. История ToTok, напротив, неоднозначна. Как сообщал Hackread.com в декабре 2019 года, ToTok — это мессенджер, разработанный в ОАЭ, который обвинялся в шпионаже за пользователями в этой стране, что привело к его удалению из магазинов приложений Apple и Google. Сегодня приложение доступно только через ненадёжные сторонние источники.

Это вредоносное мошенничество — прекрасный пример атаки с использованием социальной инженерии , использующей доверие пользователей к известным брендам, копируя их логотипы, рекламные экраны и оформление магазинов. Согласно длинному техническому сообщению в блоге ESET, в некоторых случаях поддельное приложение Signal после установки даже меняет значок и название, чтобы выглядеть как «Сервисы Google Play», что затрудняет его обнаружение и удаление.

При запуске шпионское ПО запрашивает разрешения, которые действительно нужны многим приложениям, например, доступ к контактам и хранилищу. Если эти разрешения предоставлены, шпионское ПО собирает информацию об устройстве, SMS-сообщения, списки контактов, установленные приложения и файлы, включая резервные копии чатов.

Было замечено, что ToSpy нацеливается, в частности, на резервные копии ToTok, что позволяет предположить, что злоумышленников интересует история чатов. Все собранные данные шифруются с помощью жёстко запрограммированного ключа AES и затем отправляются на серверы управления и контроля.

Исследование ESET показывает, что эта операция не нова. Телеметрические данные и данные доменов компании содержат образцы, начиная с середины 2022 года, при этом продолжающаяся активность и активные командные серверы были обнаружены в 2025 году.

Чтобы снизить риск, пользователям следует использовать официальные магазины приложений, избегать установки приложений из неизвестных источников и включать Google Play Protect, если устройство его поддерживает. ESET поделилась своими выводами с Google, и теперь Play Protect по умолчанию блокирует известные варианты этих семейств шпионских программ на устройствах Android с помощью сервисов Google Play.