Falska Signal- och ToTok-appar sprider spionprogram på Android

Falska appar med äkta fasad

För att lura användare har de skadliga filerna spridits via webbplatser som imiterade de officiella hemsidorna för Signal och ToTok, samt fejkade versioner av Samsung Galaxy Store. Sidorna såg trovärdiga ut och gav ett sken av legitimitet, men i själva verket levererade de spionprogram.

Signal är en av världens mest använda krypterade meddelandeappar med över 100 miljoner nedladdningar på Google Play. ToTok, som utvecklats av det emiratbaserade företaget G42, togs bort från både Apple och Google 2019 efter anklagelser om att appen användes som ett spionverktyg för Förenade Arabemiratens regering, enligt Bleeping Computer. 

ESET: Nya spionfamiljer upptäckta

Enligt säkerhetsföretaget ESET, som upptäckte ProSpy i juni, har kampanjen sannolikt pågått sedan minst 2024. Forskarnas analys visar att användare i Förenade Arabemiraten är huvudmål.

Man har hittat två tidigare okända spionprogram som utgav sig för att vara ett "Signal Encryption Plugin" och en särskild ”Pro-version” av ToTok – appar som i verkligheten inte existerar.

Läs också: Nvidia passerade 4 000 miljarder dollar

När ProSpy väl installerats på en enhet begärde den åtkomst till kontakter, SMS och filer. Därefter skickades data vidare till angriparnas servrar, inklusive:

• enhetens information (hårdvara, system, IP-adress)
  
• SMS och kontaktlistor
  
• dokument, bilder, ljud- och videofiler
  
• ToTok-backupfiler
  
• listor över installerade appar
  

För att undgå upptäckt maskerade sig ProSpy som en Google Play Service-app, med samma ikon och namn som den riktiga tjänsten.

ToSpy kan ha pågått i flera år

Till skillnad från ProSpy pågår ToSpy-kampanjen fortfarande, enligt ESET. Forskare menar att spår pekar tillbaka så långt som 2022, då både domäner och utvecklarcertifikat registrerades.

Den falska ToTok-appen i denna kampanj bad offren om tillgång till kontakter och lagrade filer, inklusive backupfiler från riktiga ToTok-konversationer. Allt material krypterades först med AES-algoritmen innan det skickades vidare till angriparna.

Läs också: Apple vill köpa F1-rättigheterna

För att öka trovärdigheten öppnade appen den riktiga ToTok om den redan fanns på telefonen. Saknades den, försökte malware i stället leda användaren till Huawei AppGallery för att ladda ner den legitima appen.

Så håller sig spionprogrammen kvar

Både ProSpy och ToSpy använde flera metoder för att överleva på en infekterad enhet:

• de utnyttjade Androids AlarmManager för att starta om automatiskt
  
• de kördes som en så kallad foreground service med notiser, vilket gör att systemet prioriterar dem
  
• de registrerade sig för att starta direkt efter en omstart av mobilen
  

Råd till Android-användare

ESET har publicerat en lista med indikatorer som kan avslöja infekterade enheter, men vem som står bakom attackerna är fortfarande oklart.

Experter rekommenderar Android-användare att:

Läs också: Samsung fortsätter med galna priser

• endast ladda ner appar från officiella källor som Google Play eller utvecklarens egen hemsida
  
• hålla Googles säkerhetsfunktion Play Protect aktiverad
  
• vara extra vaksamma mot appar som ber om ovanliga behörigheter
  

Har du laddat ner appar från okända källor nyligen kan det vara värt att kontrollera din enhet.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns