Los investigadores de ciberseguridad han descubierto dos campañas de spyware de Android dobladas Prosaico y Tospy que se hace sobrevenir por aplicaciones como Signal y Totok para atacar a los usuarios en los Emiratos Árabes Unidos (EAU).
La compañía de ciberseguridad eslovacia, ESET, dijo que las aplicaciones maliciosas se distribuyen a través de sitios web falsos e ingeniería social para engañar a los usuarios desprevenidos para que las descarguen. Una vez instaladas, ambas cepas de malware del spyware establecen un entrada persistente a dispositivos Android comprometidos y datos exfiltrados.
«Ninguna aplicación que contenga el spyware estaba arreglado en las tiendas de aplicaciones oficiales; ambas requerían la instalación manual de sitios web de terceros que se posan como servicios legítimos», dijo el investigador de Eset Lukáš Štefanko. En particular, uno de los sitios web que distribuye la comunidad de malware Tospy imitó la tienda Samsung Galaxy, atrayendo a los usuarios a descargar e instalar una lectura maliciosa de la aplicación Totok «.
Se cree que la campaña de prospy, descubierta en junio de 2025, estaba en curso desde 2024, aprovechando sitios web engañosos disfrazados de señal y TOTOK para penetrar archivos APK atrapados por Booby que afirman ser actualizaciones de las aplicaciones respectivas, a retener, el encriptación de señal y Totok Pro.
El uso de TOTOK como señuelo no es una coincidencia, ya que la aplicación fue eliminada de Google Play y Apple App Store en diciembre de 2019 oportuno a las preocupaciones de que actuó como una útil de espionaje para el gobierno de los EAU, cosechando las conversaciones, ubicaciones y otros datos de los usuarios.
Luego, los desarrolladores de Totok afirmaron que la asesinato fue un «ataque perpetrado contra nuestra empresa por aquellos que tienen una posición dominante en este mercado» y que la aplicación no agente a los usuarios.
Las aplicaciones Rogue Prospy están diseñadas para solicitar permisos para ingresar a contactos, mensajes SMS y archivos almacenados en el dispositivo. Asimismo es capaz de exfiltrar la información del dispositivo.
Eset dijo que su telemetría igualmente marcó a otra comunidad de spyware de Android distribuida activamente en la naturaleza y se dirigió a los usuarios en la misma región al mismo tiempo que se detectó Prospy. La campaña Tospy, que probablemente comenzó el 30 de junio de 2022, y actualmente está en curso, ha explotado los sitios falsos que se hacen sobrevenir por la aplicación Totok para entregar el malware.
Las campañas centradas en región se centran en robar archivos de datos confidenciales, medios de comunicación, contactos y copias de seguridad de chat, con la aplicación Totok Pro propagada en el clúster Prospy con un timbre «Continuar» que, cuando se aprovecha, redirige al becario a la página de descarga oficial en el navegador web e instruye para descargar la aplicación positivo.
«Esta redirección está diseñada para engrosar la ilusión de licitud», dijo Eset. «Cualquier tirada futuro de la aplicación Maliciosa Totok Pro abrirá la aplicación Efectivo Totok, enmascarando efectivamente la presencia del Spyware. Sin bloqueo, el becario aún verá dos aplicaciones instaladas en el dispositivo (Totok y Totok Pro), lo que podría ser sospechoso».
El complemento de secreto de señal, de modo similar, incluye un timbre «Habilitar» para engañar a los usuarios para que descarguen la aplicación de correo cifrada legítima visitando el sitio de Org de señal (.). Pero a diferencia del caso de Totok Pro, el ícono de la aplicación Rogue Signal se cambia para hacerse sobrevenir por los servicios de Google Play una vez que la víctima lo otorga todos los permisos necesarios.
Independientemente de la aplicación instalada, el spyware integrado internamente de ella exfiltra sigilosamente los datos antaño de que los clics del becario continúen o habiliten. Esto incluye información del dispositivo, mensajes SMS, listas de contactos, archivos y una registro de aplicaciones instaladas.
«De modo similar a Prospy, Tospy igualmente incluye pasos diseñados para engañar aún más a la víctima para que crea que el malware que acaban de instalar es una aplicación legítima», dijo Štefanko. «A posteriori de que el becario inicia la aplicación Maliciosa Totok, hay dos escenarios posibles: o la aplicación Totok oficial está instalada en el dispositivo o no».
«Si la aplicación oficial TOTOK no está instalada en el dispositivo, Tospy intenta redirigir al becario a la AppGallery de Huawei, ya sea a través de una aplicación Huawei ya instalada o mediante el navegador predeterminado, lo que sugiere que el becario descargue la aplicación Totok oficial».
En caso de que la aplicación ya esté instalada en el dispositivo, muestra una pantalla falsa para dar la impresión de que está verificando las actualizaciones de la aplicación antaño de iniciar sin problemas la aplicación oficial TOTOK. Sin bloqueo, en segundo plano, recopila contactos de becario, archivos que coinciden con ciertas extensiones, información del dispositivo y copias de seguridad de datos TOTOK (*.ttkmbackup).
Para obtener la persistencia, ambas familias de Spyware ejecutan un servicio de primer plano que muestra una notificación persistente, use el AlarmManager de Android para reiniciar repetidamente el servicio de primer plano si se termina, y inicie automáticamente los servicios de fondo necesarios en un reinicio del dispositivo.
Eset dijo que las campañas se están rastreando de modo diferente oportuno a las diferencias en los métodos de entrega e infraestructura, a pesar de varios puntos en global en el malware desplegado. Actualmente no se sabe quién está detrás de la actividad.
«Los usuarios deben permanecer atentos al descargar aplicaciones de fuentes no oficiales y evitar habilitar la instalación desde orígenes desconocidos, así como al instalar aplicaciones o complementos fuera de las tiendas oficiales de aplicaciones, especialmente aquellos que afirman mejorar los servicios confiables», agregó la compañía.
