Các nhà nghiên cứu an ninh mạng đã phát hiện hai chiến dịch phần mềm gián điệp Android có tên gọi ProSpy và ToSpy, ngụy trang thành các ứng dụng như Signal và ToTok để nhắm mục tiêu vào người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất (U.A.E.).
Công ty an ninh mạng ESET của Slovakia cho biết các ứng dụng độc hại này được phân phối qua các trang web giả mạo và tấn công phi kỹ thuật để lừa người dùng tải xuống. Sau khi cài đặt, cả hai loại phần mềm gián điệp này đều thiết lập quyền truy cập liên tục vào các thiết bị Android bị xâm nhập và đánh cắp dữ liệu.
"Không ứng dụng nào chứa phần mềm gián điệp này có sẵn trên các cửa hàng ứng dụng chính thức; cả hai đều yêu cầu cài đặt thủ công từ các trang web bên thứ ba giả mạo dịch vụ hợp pháp," nhà nghiên cứu Lukáš Štefanko của ESET cho biết. "Đáng chú ý, một trong những trang web phân phối dòng malware ToSpy đã giả mạo Samsung Galaxy Store, dụ người dùng tải xuống và cài đặt thủ công một phiên bản độc hại của ứng dụng ToTok."
Chiến dịch ProSpy, được phát hiện vào tháng 6 năm 2025, được cho là đã diễn ra từ năm 2024, tận dụng các trang web lừa đảo ngụy trang thành Signal và ToTok để lưu trữ các tệp APK cài bẫy, tự nhận là bản nâng cấp của các ứng dụng tương ứng, cụ thể là Signal Encryption Plugin và ToTok Pro.
Việc sử dụng ToTok làm mồi nhử không phải là ngẫu nhiên, vì ứng dụng này đã bị gỡ bỏ khỏi Google Play và Apple App Store vào tháng 12 năm 2019 do những lo ngại rằng nó hoạt động như một công cụ gián điệp cho chính phủ U.A.E., thu thập các cuộc trò chuyện, vị trí và dữ liệu khác của người dùng.
Các nhà phát triển của ToTok sau đó đã tuyên bố việc gỡ bỏ là một "cuộc tấn công nhằm vào công ty của chúng tôi bởi những người nắm giữ vị trí thống trị trên thị trường này" và rằng ứng dụng không gián điệp người dùng.
Các ứng dụng ProSpy giả mạo được thiết kế để yêu cầu quyền truy cập vào danh bạ, tin nhắn SMS và các tệp được lưu trữ trên thiết bị. Chúng cũng có khả năng đánh cắp thông tin thiết bị.
ESET cho biết dữ liệu telemetry của họ cũng đã phát hiện một dòng spyware Android khác đang được phân phối rộng rãi và nhắm mục tiêu vào người dùng trong cùng khu vực vào khoảng thời gian ProSpy được phát hiện. Chiến dịch ToSpy, có khả năng bắt đầu vào ngày 30 tháng 6 năm 2022 và vẫn đang tiếp diễn, đã lợi dụng các trang web giả mạo ứng dụng ToTok để phát tán malware.
Các chiến dịch tập trung vào khu vực này xoay quanh việc đánh cắp các tệp dữ liệu nhạy cảm, đa phương tiện, danh bạ và bản sao lưu cuộc trò chuyện, với ứng dụng ToTok Pro được phát tán trong nhóm ProSpy có một nút "CONTINUE" mà khi chạm vào, sẽ chuyển hướng người dùng đến trang tải xuống chính thức trên trình duyệt web và hướng dẫn họ tải xuống ứng dụng thực.
"Việc chuyển hướng này được thiết kế để củng cố ảo tưởng về tính hợp pháp," ESET cho biết. "Bất kỳ lần khởi chạy ứng dụng ToTok Pro độc hại nào trong tương lai sẽ thay vào đó mở ứng dụng ToTok thật, che giấu hiệu quả sự hiện diện của spyware. Tuy nhiên, người dùng vẫn sẽ thấy hai ứng dụng được cài đặt trên thiết bị (ToTok và ToTok Pro), điều này có thể gây nghi ngờ."
Signal Encryption Plugin, theo cách tương tự, bao gồm một nút "ENABLE" để lừa người dùng tải xuống ứng dụng nhắn tin mã hóa hợp pháp bằng cách truy cập trang signal[.]org. Nhưng không giống như trường hợp của ToTok Pro, biểu tượng ứng dụng Signal giả mạo sẽ được thay đổi để giả mạo Google Play Services một khi nạn nhân cấp tất cả các quyền cần thiết cho nó.
Bất kể ứng dụng nào được cài đặt, spyware được nhúng bên trong nó sẽ bí mật đánh cắp dữ liệu trước khi người dùng nhấp vào CONTINUE hoặc ENABLE. Điều này bao gồm thông tin thiết bị, tin nhắn SMS, danh sách liên hệ, tệp và danh sách các ứng dụng đã cài đặt.
"Tương tự như ProSpy, ToSpy cũng bao gồm các bước được thiết kế để lừa dối nạn nhân hơn nữa, khiến họ tin rằng malware mà họ vừa cài đặt là một ứng dụng hợp pháp," Štefanko nói. "Sau khi người dùng khởi chạy ứng dụng ToTok độc hại, có hai kịch bản có thể xảy ra: ứng dụng ToTok chính thức đã được cài đặt trên thiết bị hoặc chưa."
"Nếu ứng dụng ToTok chính thức chưa được cài đặt trên thiết bị, ToSpy sẽ cố gắng chuyển hướng người dùng đến Huawei AppGallery, thông qua một ứng dụng Huawei đã cài đặt hoặc qua trình duyệt mặc định, gợi ý người dùng tải xuống ứng dụng ToTok chính thức."
Trong trường hợp ứng dụng đã được cài đặt trên thiết bị, nó hiển thị một màn hình giả để tạo ấn tượng rằng nó đang kiểm tra các bản cập nhật ứng dụng trước khi khởi chạy liền mạch ứng dụng ToTok chính thức. Tuy nhiên, ở chế độ nền, nó thu thập danh bạ người dùng, các tệp khớp với một số phần mở rộng nhất định, thông tin thiết bị và bản sao lưu dữ liệu ToTok (*.ttkmbackup).
Để đạt được sự bền vững (persistence), cả hai dòng spyware đều chạy một dịch vụ nền trước hiển thị thông báo liên tục, sử dụng AlarmManager của Android để liên tục khởi động lại dịch vụ nền trước nếu nó bị chấm dứt và tự động khởi chạy các dịch vụ nền cần thiết khi thiết bị khởi động lại.
ESET cho biết các chiến dịch đang được theo dõi khác nhau do sự khác biệt trong phương thức phân phối và cơ sở hạ tầng, mặc dù có một số điểm tương đồng trong malware được triển khai. Hiện chưa rõ ai đứng đằng sau hoạt động này.
Công ty cũng bổ sung: "Người dùng nên cảnh giác khi tải xuống ứng dụng từ các nguồn không chính thức và tránh bật cài đặt từ các nguồn không xác định, cũng như khi cài đặt ứng dụng hoặc tiện ích bổ sung bên ngoài các cửa hàng ứng dụng chính thức, đặc biệt là những ứng dụng tự nhận là cải thiện các dịch vụ đáng tin cậy."
