Ao comprar através dos nossos links, podemos receber uma comissão. Saiba como funciona.

Criminosos falsificam apps de mensagens para espalhar spywares de Android inéditos (e muito perigosos)

Campanhas ProSpy e ToSpy exploram sites falsos e apps adulteradas para espalhar malware de espionagem e roubo de dados.

Campanhas ProSpy e ToSpy exploram sites falsos e apps adulteradas para espalhar spyware
(Imagem gerada por IA/ ChatGPT)

Investigadores da ESET descobriram duas campanhas cibercriminosas que estão a explorar a popularidade de aplicações de mensagens para espalhar novos spywares (malwares de espionagem) em dispositivos Android. Batizadas de ProSpy e ToSpy, as ameaças passam-se por versões falsas do Signal e do ToTok, com o objetivo de roubar dados confidenciais dos utilizadores.

Falsificação de sites e aplicações

Para dar aparência de legitimidade, os operadores criaram páginas falsas que imitavam o site oficial do Signal e até mesmo a Samsung Galaxy Store. Nessas páginas, os utilizadores eram induzidos a descarregar ficheiros APK maliciosos que, uma vez instalados, pediam permissões típicas de apps de mensagens — como acesso a contactos, SMS e ficheiros — mas que, na prática, serviam para exfiltrar dados.

Como avançou o site Bleeping Computer, entre as informações roubadas estão detalhes do dispositivo, mensagens de texto, contactos, ficheiros multimédia e até backups de conversas do ToTok.

No caso do ProSpy, os atacantes chegaram a disfarçar o malware como “Play Services”, exibindo inclusive o ecrã de informações de uma aplicação legítima da Google quando o utilizador tocava no ícone, numa tentativa de evitar suspeitas.

Campanhas ProSpy e ToSpy exploram sites falsos e apps adulteradas para espalhar
(Imagens: Reprodução/ ESET)

Campanha ToSpy ativa pode estar ativa há anos

Já a campanha ToSpy pode estar em atividade desde 2022. O spyware imita uma versão “Pro” do ToTok e recolhe documentos, fotos, vídeos e ficheiros de backup da aplicação. Para reforçar o disfarce, o malware abre o ToTok legítimo ou redireciona o utilizador para a AppGallery da Huawei caso o app não esteja instalado no dispositivo.

De acordo com os investigadores, os dados exfiltrados são encriptados antes de serem enviados para os servidores de comando e controlo (C2). Além disso, tanto o ProSpy como o ToSpy contam com mecanismos avançados de persistência, como reinicialização automática via AlarmManager, serviços em primeiro plano com notificações persistentes e execução após a reinicialização do dispositivo.

A ESET acredita que as campanhas têm como principal alvo utilizadores nos Emirados Árabes Unidos, onde o ToTok continua popular, apesar de ter sido removido das lojas oficiais da Apple e da Google em 2019, após acusações de espionagem.

Como se proteger

Os investigadores recomendam que os utilizadores do Android descarreguem aplicações apenas de lojas oficiais, como a Google Play Store, ou diretamente dos sites dos programadores. Também é essencial manter o Google Play Protect ativo, já que este pode detetar e bloquear ameaças conhecidas.

Até ao momento, a ESET não conseguiu atribuir as campanhas a um agente malicioso ou a um grupo de cibercriminosos específico.

Norton 360 Deluxe
Antivírus em oferta!Norton 360 Deluxe
18,70 €Amazon
35,57 €-47%
Logo 4gnews
Estamos a recrutar! Editor e Reviewer de Produtos Tech
Candidata-te agora
 William Schendes
William Schendes
Jornalista e criador de conteúdos, escreve sobre tecnologia, videojogos e cibersegurança desde 2022. No 4gnews, escreve sobre as novidades do mundo tech, mas anteriormente já produziu de tudo um pouco: reviews, reportagens, artigos especiais e tutoriais.