Investigadores da ESET descobriram duas campanhas cibercriminosas que estão a explorar a popularidade de aplicações de mensagens para espalhar novos spywares (malwares de espionagem) em dispositivos Android. Batizadas de ProSpy e ToSpy, as ameaças passam-se por versões falsas do Signal e do ToTok, com o objetivo de roubar dados confidenciais dos utilizadores.
Falsificação de sites e aplicações
Para dar aparência de legitimidade, os operadores criaram páginas falsas que imitavam o site oficial do Signal e até mesmo a Samsung Galaxy Store. Nessas páginas, os utilizadores eram induzidos a descarregar ficheiros APK maliciosos que, uma vez instalados, pediam permissões típicas de apps de mensagens — como acesso a contactos, SMS e ficheiros — mas que, na prática, serviam para exfiltrar dados.
Como avançou o site Bleeping Computer, entre as informações roubadas estão detalhes do dispositivo, mensagens de texto, contactos, ficheiros multimédia e até backups de conversas do ToTok.
No caso do ProSpy, os atacantes chegaram a disfarçar o malware como “Play Services”, exibindo inclusive o ecrã de informações de uma aplicação legítima da Google quando o utilizador tocava no ícone, numa tentativa de evitar suspeitas.
Campanha ToSpy ativa pode estar ativa há anos
Já a campanha ToSpy pode estar em atividade desde 2022. O spyware imita uma versão “Pro” do ToTok e recolhe documentos, fotos, vídeos e ficheiros de backup da aplicação. Para reforçar o disfarce, o malware abre o ToTok legítimo ou redireciona o utilizador para a AppGallery da Huawei caso o app não esteja instalado no dispositivo.
De acordo com os investigadores, os dados exfiltrados são encriptados antes de serem enviados para os servidores de comando e controlo (C2). Além disso, tanto o ProSpy como o ToSpy contam com mecanismos avançados de persistência, como reinicialização automática via AlarmManager, serviços em primeiro plano com notificações persistentes e execução após a reinicialização do dispositivo.
A ESET acredita que as campanhas têm como principal alvo utilizadores nos Emirados Árabes Unidos, onde o ToTok continua popular, apesar de ter sido removido das lojas oficiais da Apple e da Google em 2019, após acusações de espionagem.
Como se proteger
Os investigadores recomendam que os utilizadores do Android descarreguem aplicações apenas de lojas oficiais, como a Google Play Store, ou diretamente dos sites dos programadores. Também é essencial manter o Google Play Protect ativo, já que este pode detetar e bloquear ameaças conhecidas.
Até ao momento, a ESET não conseguiu atribuir as campanhas a um agente malicioso ou a um grupo de cibercriminosos específico.
