Хакеры распространяют шпионское ПО под видом плагинов Signal и обновлений ToTok

Эксперты компании ESET выявили масштабную вредоносную кампанию, направленную на пользователей Android. Вредоносные приложения распространялись под фальшивыми названиями Signal Encryption и ToTok Pro. Исследование показало, что это ранее неизвестное шпионское ПО, замаскированное под легитимные инструменты для общения.

По словам специалистов, атаки получили условные названия ProSpy и ToSpy. Для распространения вредоносных файлов использовались сайты, внешне копировавшие официальные ресурсы популярных мессенджеров. Жертвами атаки могли стать те, кто искал обновления или дополнительные функции для защищённого общения.

На поддельных страницах были размещены APK-файлы, якобы предназначенные для загрузки Signal и ToTok. Некоторые домены имитировали структуру официальных источников — в частности, страницы signal.ct[.]ws, encryption-plug-in-signal.com-ae[.]net, store.latestversion[.]ai и store.appupdate[.]ai. Попытка журналистов BleepingComputer зайти на ресурсы показала, что большая часть уже недоступна, а один из сайтов перенаправлял на легальный ресурс ToTok.

Приложение Signal, известное своим сквозным шифрованием, установлено более 100 млн раз в Google Play. ToTok, разработанный компанией G42 из ОАЭ, был удалён из магазинов приложений в 2019 году после того, как американские СМИ заподозрили его в передаче пользовательских данных правительству. В настоящее время оно доступно через сторонние источники и сайт разработчика.

Вредоносное ПО, как сообщают в ESET, активно запрашивало у пользователей доступ к SMS, контактам и файловой системе. После установки приложение собирало данные об устройстве, IP-адрес, списки контактов, текстовые сообщения, мультимедийные файлы, список других установленных программ, а также резервные копии данных ToTok.

Особый интерес вызывает способ маскировки. Signal Encryption после установки отображается как «Сервисы Google Play» — в том числе с соответствующим значком на экране. При попытке открыть приложение пользователю демонстрируется информационный блок от настоящего приложения Google, что должно снизить подозрения и затруднить обнаружение.

Специалисты из ESET полагают, что активность ProSpy началась как минимум с 2024 года, несмотря на то что первое выявление состоялось только летом 2025-го. Учитывая географию заражений, предполагается, что вредоносные кампании направлены преимущественно на пользователей из Объединённых Арабских Эмиратов.