Când aplicațiile de mesagerie par a fi o salvare, ele pot ascunde surprize neplăcute: două campanii de spyware care s‑au dat drept pluginuri sau versiuni îmbunătățite pentru Signal și ToTok au vizat utilizatorii Android, distribuind fișiere malițioase prin site‑uri care imitau paginile oficiale.
Istoria aplicațiilor de mesagerie evidențiază cât de mult ne bazăm pe ele pentru confidențialitate; de la SMS‑uri simple la sisteme de criptare precum Signal, oamenii caută protecție. Totuși, cazuri ca cel al ToTok din 2019 arată că suspiciunile privind intimitatea pot urmări chiar și aplicațiile populare. Cercetătorii ESET au găsit două campanii, denumite ProSpy și ToSpy, care au exploatat exact acea încredere.
ESET a identificat campania ProSpy în iunie, dar consideră că activitatea ar fi început cel puțin din 2024. Atacatorii au creat site‑uri ce imitau pagini oficiale pentru Signal și magazinul Samsung Galaxy, folosind domenii înșelătoare precum https://signal.ct[.]ws, https://encryption-plug-in-signal.com-ae[.]net/ sau store.latestversion[.]ai. Pe astfel de pagini erau oferite APK‑uri false, prezentate ca plugin de criptare pentru Signal sau ca versiune Pro a ToTok, funcționalități inexistente în realitate. Unele domenii erau deja offline când jurnaliștii au încercat accesul, iar unul dintre linkuri redirecționa spre site‑ul oficial ToTok, o tactică menită să pară legitimă.
La instalare, ProSpy cere permisiuni obișnuite pentru aplicațiile de mesagerie: acces la contacte, SMS și stocare. Odată activ, malware‑ul extrage multiple date sensibile: informații despre dispozitiv (hardware, sistem de operare, adresă IP), textele SMS stocate, lista de contacte, fișiere multimedia și documente, backup‑uri ToTok și lista aplicațiilor instalate. Pentru a rămâne ascuns, pluginul fals pentru Signal folosește pictograma și denumirea Play Services pe ecranul principal; la apăsarea icoanei se deschide ecranul cu informații al aplicației legitime Google Play Services. Atacatorii au implementat și redirecționarea către site‑ul oficial când detectau lipsa aplicației reale, pentru a reduce suspiciunile utilizatorilor.
Campania ToSpy pare activă de mai mult timp; infrastructura de comandă și control continuă să funcționeze, iar ESET găsește indicii că activitatea ar putea data din 2022: un certificat de developer creat pe 24 mai 2022, un domeniu folosit pentru distribuție și C2 înregistrat pe 18 mai 2022 și probe încărcate pe VirusTotal la sfârșitul lunii iunie 2022. Versiunea falsă a aplicației ToTok cerea permisiuni pentru contacte și stocare și colecta în special documente, imagini, videoclipuri și fișiere de backup ToTok (.ttkmbackup). Datele exfiltrate sunt, înainte de trimitere, criptate cu AES în modul CBC, ceea ce complică analiza fără cheile potrivite.
Pentru a nu stârni suspiciuni, ToSpy pornește aplicația ToTok reală dacă aceasta există pe dispozitiv. Dacă nu este instalată, malware‑ul încearcă să deschidă Huawei AppGallery sau browserul implicit, sugerând utilizatorului descărcarea versiunii oficiale. Ambele familii de spyware folosesc trei mecanisme pentru persistență: abuză API‑ul Android AlarmManager pentru repornire automată dacă procesul este omorât, rulează un serviciu foreground cu notificare persistentă pentru a fi tratat ca proces prioritar și se înregistrează pentru evenimentul BOOT_COMPLETED pentru a porni după repornirea dispozitivului.
ESET a publicat o listă detaliată de indicatori de compromitere (IoC) legați de ProSpy și ToSpy, însă atribuirea exactă a actorilor din spatele campaniilor rămâne neconcludentă. Pe scurt, riscul este real, mai ales pentru utilizatorii din Emiratele Arabe Unite, care par a fi ținta principală a acestor operațiuni.
Recomandarea pentru utilizatorii Android rămâne practică: instalați aplicații doar din repozitore oficiale sau surse de încredere și, dacă este cazul, direct de pe site‑ul editorului legitim. Mențineți activ Play Protect pentru a ajuta la detectarea și blocarea amenințărilor cunoscute.
Numărul domeniilor false și tehnicile folosite de ProSpy și ToSpy demonstrează cât de sofisticate pot fi încercările de a imita servicii populare, mai ales când e vorba de aplicații cu mulți utilizatori precum Signal sau de aplicații cu un istoric controversat, cum este ToTok. Atacurile se sprijină pe două principii simple: familiaritatea utilizatorului cu brandul și disponibilitatea de a acorda permisiuni pentru funcționalități aparent legitime. Aceste tactici nu sunt noi, dar se adaptează contextului regional și evoluției tehnice, făcând prevenția și verificarea surselor esențiale. Credeți că verificarea dublă a unui domeniu sau a unei aplicații ar trebui să devină un reflex pentru toți utilizatorii de Android?
Fii primul care comentează