I ricercatori di ESET hanno individuato due nuove campagne spyware che prendono di mira gli utenti di Signal e ToTok. I malware sono stati nascosti dai cybercriminali nelle app fasulle per Android distribuite tramite siti web di terze parti. Questo è il principale problema di sicurezza che Google vuole risolvere con la verifica obbligatoria degli sviluppatori.
Descrizione di ProSpy e ToSpy
ProSpy è uno spyware che colpisce entrambe le app di messaggistica, mentre ToSpy riguarda solo ToTok (disponibile solo sul sito ufficiale, non sul Play Store). ProSpy viene distribuito attraverso tre siti web con design simile a quelli legittimi di Signal e ToTok. I file APK dovrebbero consentire l’installazione di un plugin crittografico per Signal e della versione Pro di ToTok.
Nel caso del Signal Encryption Plugin viene eseguita l’app legittima (se non installata sullo smartphone viene aperto il sito ufficiale per il download). L’app infetta usa l’icona Play Services per nascondere la sua presenza. Nel caso di ToTok Pro viene invece eseguita la reale app ToTok (se non istallata viene aperto lo store Huawei AppGallery, sul quale non c’è nessuna ToTok).
Indipendentemente dalla modalità di distribuzione, le “funzionalità” dei due spyware sono simili. Possono rubare numerosi dati, tra cui informazioni sul dispositivo, SMS, elenco dei contatti, file (documenti, audio, video, immagini), elenco delle app installate. I dati vengono quindi inviati al server C&C (command and control) dei cybercriminali.
Entrambi gli spyware mantengono la persistenza attraverso un servizio che mostra le notifiche e l’esecuzione automatica ad ogni riavvio dello smartphone. Al momento, le due campagne sono in corso negli Emirati Arabi Uniti, ma potrebbero essere estese ad altri paesi. Il consiglio è installare le app solo dal Google Play Store o siti conosciuti. La funzionalità Play Protect può rilevare e bloccare i due malware.
Ti potrebbe interessare
3 ott 2025