Beveiligingsonderzoekers hebben twee nieuwe Android‑spywarecampagnes ontdekt die zich voordoen als updates of plugins voor populaire messagingapps Signal en ToTok. De malwaresoorten, ProSpy en ToSpy, zijn ontworpen om gevoelige data van geïnfecteerde apparaten te stelen.
Volgens onderzoekers bij ESET doet ProSpy zich voor als een niet‑bestaande “Signal Encryption Plugin”, terwijl ToSpy zich voordoet als een “Pro”‑versie van de ToTok‑app. Beiden werden verspreid via frauduleuze websites die officiële downloadportals nabootsen en zelfs een valse Galaxy Store. De campagnes richten zich vooral op gebruikers in de Verenigde Arabische Emiraten, maar kunnen zich ook buiten die regio verspreiden.
Zodra de spyware is geïnstalleerd, kan deze toegang krijgen tot contacten, SMS‑berichten, mediabestanden, lijst van apps en zelfs ToTok‑chatbackups. Om argwaan te vermijden, gebruikt ProSpy het Google Play Services‑icoon, terwijl ToSpy de echte ToTok‑app opstart (indien aanwezig) om zijn sporen te verbergen. Beiden gebruiken ook persistentiemechanismen om reboots en systeemuitschakelingen te overleven.
ESET’s analyse suggereert dat ToSpy mogelijk actief is sinds 2022, terwijl ProSpy vanaf uiterlijk 2024 actief was. De herkomst is onduidelijk, maar de lopende campagnes onderstreepen de risico’s van het downloaden van apps uit niet‑officiële bronnen.
Beveiligingsexperts adviseren Android‑gebruikers om alleen vertrouwde app‑winkels te gebruiken, Google Play Protect in te schakelen en voorzichtig te zijn met updates die buiten officiële winkels worden aangeboden.
Gisteren berichtten we ook over een nieuw type banktrojan dat zich in Zuid‑Europa verspreidt, vermomd als IPTV‑ en VPN‑app. Android‑malware die zich voordoet als apps, updates of extensies lijkt een steeds populairder aanvalsvector te worden onder cybercriminelen.
