دو کمپین جاسوسی جدید موسوم به ProSpy و ToSpy، با بهروزرسانیها یا پلاگینهای جعلی اپلیکیشنهای پیامرسان Signal و ToTok کاربران اندروید را جهت سرقت دادههای حساس فریب میدهند.
عامل تهدید برای اینکه فایلهای مخرب، قانونی به نظر برسند آنها را از طریق وبسایتهایی که این دو پلتفرم ارتباطی را جعل میکردند، توزیع کرد. ToTok توسط شرکت هوش مصنوعی مستقر در امارات متحده عربی G42 توسعه داده شده و در سال ۲۰۱۹ پس از ادعاهایی مبنی بر اینکه ابزار جاسوسی برای دولت امارات است، از فروشگاههای اپلیکیشن اپل و گوگل حذف شد. در حال حاضر، ToTok برای دانلود از وبسایت رسمی و فروشگاههای اپلیکیشن شخص ثالث در دسترس است.
محققان شرکت امنیت سایبری ESET کمپین ProSpy را در ماه ژوئن کشف کردند، اما معتقدند که این فعالیت از سال ۲۰۲۴ آغاز شده است. تجزیه و تحلیلها نشان داد که این کمپینهای مخرب کاربران را در امارات هدف قرار میدهند. در جریان تحقیقات «دو خانواده جاسوسافزار جدید» کشف شد که وانمود میکردند پلاگین رمزگذاری Signal و نسخه حرفهای از ToTok هستند. هدف هر دو خانواده بدافزار شامل استخراج دادههای کاربر از جمله اسناد، رسانهها، فایلها، مخاطبین و پشتیبانگیری از چتها است. فعالیتهای شناسایی شده در امارات و استفاده از فروشگاههای برنامه فیشینگ و جعلی نشان میدهد که عملیات متمرکز منطقهای با مکانیسمهای تحویل استراتژیک انجام میشود.
https://www.welivesecurity.com/en/eset-research/new-spyware-campaigns-target-privacy-conscious-android-users-uae/
https://www.bleepingcomputer.com/news/security/android-spyware-campaigns-impersonate-signal-and-totok-messengers/
