ESET odhalil spyvér zameraný na Android používateľov v Spojených arabských emirátoch

• Výskumníci spoločnosti ESET odhalili dve doteraz nezdokumentované rodiny malvéru typu spyvér pre Android, ktoré nazvali Android/Spy.ProSpy a Android/Spy.ToSpy.
• ProSpy sa vydáva za aplikácie Signal a ToTok, zatiaľ čo ToSpy sa zameriava výlučne na používateľov ToTok.
• Obe rodiny malvéru majú za cieľ odcudziť používateľské dáta, vrátane dokumentov, súborov, kontaktov a záloh chatov.
• Potvrdené detekcie v Spojených arabských emirátoch a používanie phishingu a falošných obchodov s aplikáciami naznačujú regionálne zamerané operácie s premysleným spôsobom rozširovania malvéru.

Výskumníci spoločnosti ESET odhalili dve špionážne kampane zamerané na používateľov Androidu, ktorí sa zaujímajú o aplikácie na bezpečnú komunikáciu, konkrétne Signal a ToTok. Tieto kampane šíria malvér prostredníctvom podvodných webových stránok a sociálneho inžinierstva a zdá sa, že sú zamerané na obyvateľov Spojených arabských emirátov (SAE). Analýza spoločnosti ESET viedla k objaveniu dvoch doteraz nezdokumentovaných rodín spyvéru. Android/Spy.ProSpy sa vydáva za aktualizácie alebo doplnky pre aplikáciu Signal a kontroverznú a už nefunkčnú aplikáciu ToTok, a Android/Spy.ToSpy sa vydáva za aplikáciu ToTok. Kampane ToSpy stále prebiehajú, ako naznačujú riadiace (C&C) servery, ktoré zostávajú aktívne.

„Žiadna z aplikácií obsahujúcich spyvér nebola dostupná v oficiálnych obchodoch s aplikáciami. Obe pritom vyžadovali manuálnu inštaláciu z webových stránok tretích strán, ktoré sa vydávali za legitímne služby,“ vysvetľuje výskumník spoločnosti ESET Lukáš Štefanko, ktorý objavil rodiny malvéru. „Je zaujímavé, že jedna z webových stránok distribuujúcich malvér rodiny ToSpy napodobňovala obchod Samsung Galaxy Store a lákala používateľov, aby si ručne stiahli a nainštalovali škodlivú verziu aplikácie ToTok. Po inštalácii obe rodiny spyvéru zostávajú v zariadení a neustále exfiltrujú citlivé údaje a súbory z kompromitovaných Android zariadení. Potvrdené detekcie v Spojených arabských emirátoch a používanie phishingu a falošných obchodov s aplikáciami naznačujú regionálne zamerané operácie s premyslenými mechanizmami doručovania.“

Výskumníci spoločnosti ESET objavili kampaň ProSpy v júni 2025, pričom pravdepodobne prebiehala už od roku 2024. ProSpy sa šíri prostredníctvom troch podvodných webových stránok, ktoré sú navrhnuté tak, aby napodobňovali komunikačné platformy Signal a ToTok. Tieto stránky ponúkajú škodlivé súbory APK, ktoré sa vydávajú za vylepšenia a sú zamaskované ako doplnok Signal Encryption Plugin a ToTok Pro. Použitie doménového mena končiaceho na „ae.net“ môže naznačovať, že kampaň je zameraná na osoby v Spojených arabských emirátoch, keďže AE je dvojmiestny kód krajiny pre SAE.

Počas analýzy ESET objavil ďalších päť škodlivých APK súborov používajúcich rovnaký spyvérový kód, ktoré sa vydávajú za vylepšenú verziu aplikácie ToTok pod názvom ToTok Pro. ToTok, kontroverzná bezplatná aplikácia na zasielanie správ a volanie vyvinutá v Spojených arabských emirátoch, bola v decembri 2019 odstránená z Google Play a Apple App Store z dôvodu obáv o sledovanie. Vzhľadom na to, že jej používatelia sa nachádzajú predovšetkým v SAE, je pravdepodobné, že ToTok Pro sa zameriava na používateľov v tejto oblasti, ktorí sú náchylnejší na stiahnutie aplikácie z neoficiálnych zdrojov vo svojej oblasti.

Po spustení obe škodlivé aplikácie žiadajú o povolenie na prístup ku kontaktom, SMS správam a súborom uloženým v zariadení. Ak sú tieto povolenia udelené, ProSpy začne v pozadí exfiltrovať dáta. Plugin Signal Encryption Plugin extrahuje informácie o zariadení, uložené SMS správy a zoznam kontaktov a exfiltruje ďalšie súbory, ako sú zálohy chatov, audio, video a obrázky.

V júni 2025 telemetrické systémy ESET zaznamenali ďalšiu doteraz nezdokumentovanú rodinu spyvéru pre Android, ktorá sa aktívne šírila a pochádzala zo zariadenia umiestneného v Spojených arabských emirátoch. ESET označil tento malvér ako Android/Spy.ToSpy. Následné vyšetrovanie odhalilo štyri podvodné distribučné webové stránky, ktoré sa vydávali za aplikáciu ToTok. Vzhľadom na regionálnu popularitu aplikácie a taktiku vydávania sa za inú aplikáciu, ktorú používajú útočníci, je na mieste predpokladať, že primárnymi cieľmi tejto špionážnej kampane sú používatelia v Spojených arabských emirátoch alebo okolitých regiónoch. Spyvér môže na pozadí zbierať a exfiltrovať nasledujúce údaje: kontakty používateľov, súbory s informáciami o zariadení, ako sú zálohy chatov, obrázky, dokumenty, audio a video. Zistenia spoločnosti ESET naznačujú, že kampaň ToSpy pravdepodobne začala v polovici roka 2022.

„Používatelia by mali zostať ostražití pri sťahovaní aplikácií z neoficiálnych zdrojov a vyhnúť sa povoleniu inštalácie z neznámych zdrojov, ako aj pri inštalácii aplikácií alebo doplnkov mimo oficiálnych obchodov s aplikáciami, najmä tých, ktoré tvrdia, že vylepšujú dôveryhodné služby,“ radí Štefanko.

Podrobnejšiu analýzu a technický rozbor nájdete v špeciálnom blogu na našom medzinárodnom portáli WeLiveSecurity. Sledujte ESET Research na sieťach X (niekdajší Twitter), BlueSky a Mastodone, aby ste mali vždy najnovšie informácie od výskumníkov spoločnosti ESET.

O spoločnosti ESET

ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.