Исследователи ESET выявили шпионские приложения под Android, маскирующиеся под Signal и ToTok

Исследовательская группа ESET сообщила о выявлении двух активных кампаний, связанных с распространением Android-шпионов, маскирующихся под популярные мессенджеры Signal и ToTok. По данным компании, атаки нацелены прежде всего на пользователей в Объединённых Арабских Эмиратах.

Распространение происходит через сайты, внешне повторяющие официальные страницы сервисов. Заражение возможно только при ручной установке приложения из неизвестных источников — в магазине Google Play эти программы отсутствуют.

Первая кампания, зафиксированная в июне 2025 года, получила условное обозначение Android/Spy.ProSpy. Вредонос распространяется под видом обновлений или дополнительных модулей — например, «Signal Encryption Plugin» или «ToTok Pro». Сайты загрузки использовали домены с региональной зоной .ae.net, что указывает на локализацию под аудиторию стран Персидского залива.

Вторая выявленная группа — Android/Spy.ToSpy — копирует интерфейс магазина Samsung Galaxy Store. На фальшивой странице пользователю предлагается установить «новую версию» ToTok. После установки программа запрашивает права доступа к контактам, SMS и файловой системе, а затем передаёт собранные данные на удалённые серверы.

После запуска приложения меняют значок и отображаются в списке программ как Play Services. При нажатии на иконку пользователь перенаправляется к настоящему сервису Google, что затрудняет выявление заражения.

По информации ESET, активность кампаний началась не позднее 2024 года. Аналитики указывают, что подобные схемы ориентированы на пользователей, привыкших к мессенджерам с повышенным уровнем защиты данных.

Эксперты рекомендуют загружать приложения только из официальных источников и не переходить по ссылкам, предлагающим установить «обновления» за пределами Google Play.

Источник: https://gbhackers.com