Investigadores de ESET han descubierto dos campañas de espionaje dirigidas a usuarios de Android que muestran interés por aplicaciones de comunicación seguras como Signal y ToTok. Utilizando sitios web engañosos y técnicas de ingeniería social, estas campañas parecen dirigirse principalmente a residentes de los Emiratos Árabes Unidos (EAU).
La investigación identificó dos familias de spyware previamente no documentadas: Android/Spy.ProSpy, que se presenta como actualizaciones o complementos para las aplicaciones de mensajería Signal y ToTok; y Android/Spy.ToSpy, que se enfoca exclusivamente en los usuarios de ToTok. Ninguna de las aplicaciones maliciosas se encontraba en las tiendas oficiales, lo que requería su instalación manual desde sitios de terceros disfrazados de servicios legítimos. Un ejemplo notable es un sitio que imita la tienda Samsung Galaxy, engañando a los usuarios para que descarguen e instalen una versión maliciosa de ToTok.
Una vez instaladas, ambas familias de spyware persisten en el dispositivo y exfiltran continuamente datos sensibles. En el caso de ToSpy, se ha observado que apunta a archivos con la extensión .ttkmbackup, utilizados para almacenar copias de seguridad de datos de ToTok, lo que sugiere un interés específico en extraer historiales de chat o datos de aplicaciones. Las campañas de ToSpy siguen activas, dado que los servidores de comando y control continúan operativos al momento de la publicación.
Las detecciones confirmadas de estas amenazas se han preservado principalmente en los EAU, lo que indica un enfoque regional estratégico. En respuesta a estos hallazgos, ESET ha colaborado con Google en calidad de socio de la App Defense Alliance, lo que proporciona protección automática a los usuarios de Android contra versiones conocidas de este spyware a través de Google Play Protect.
Para combatir este tipo de amenazas, se aconseja a los usuarios que sean cautelosos al descargar aplicaciones de fuentes no oficiales y que eviten habilitar la instalación desde orígenes desconocidos, ya que las aplicaciones o complementos que supuestamente mejoran los servicios confiables pueden ser, en realidad, un riesgo para su privacidad y seguridad.
Fuente: WeLiveSecurity by eSet.
