Két új támadás: ProSpy és ToSpy akcióban
Két veszélyes kémprogram-kampány indult el, amelyek androidos felhasználók adatainak ellopására specializálódtak. Ezek közül a ProSpy és ToSpy álfrissítésekkel, illetve bővítményekkel csapják be a Signal és ToTok üzenetküldő appokat használókat. Lényeges hangsúlyozni, hogy mindkét támadás a hivatalos applikációkhoz hasonló weboldalakon keresztül terjeszti a fertőző fájlokat, amelyek megtévesztésig hasonlítanak a Signal vagy a Samsung Galaxy Store weboldalaira. A Signal több mint 100 millió letöltéssel népszerű titkosított csevegő, a ToTok pedig dubaji MI-cég fejlesztése, amelyet 2019-ben száműztek az Apple és Google áruházaiból adatgyűjtési vádak miatt.
Így működik a megtévesztés és az adatlopás
A támadók a fertőzött APK-kat álweboldalakon keresztül terjesztik, például a https://signal.ct[.]ws címen vagy a Samsung nevére hajazó címeken. A letöltött appok SMS-hez, kontaktlistához és fájlokhoz kérnek hozzáférést – ezek mind olyan tipikus, ártalmatlannak tűnő engedélykérések, amelyek nem keltenek gyanút. Bár sok felhasználó nem is sejti, a háttérben a kártevő minden fontos adatot ellop: készülékadatokat, SMS-eket, kontaktokat, dokumentumokat, hanganyagokat, fotókat, videókat, sőt ToTok-mentéseket, valamint az összes telepített alkalmazás listáját is.
Hogy ne bukjon le, a Signal Encryption Plugin például „Play Services” ikon alatt jelenik meg, és érintésre a valódi Google Play Szolgáltatások információs ablaka ugrik elő. Ha a felhasználónak feltűnne, hogy hiányzik a valódi app, a ProSpy átirányítja az eredeti letöltőoldalra, hogy ne keltsen gyanút.
ToSpy: több éve működhet, tökéletesített rejtőzködés
A ToSpy-féle támadás 2022 óta tart, amit fejlesztői tanúsítványok és a VirusTotalhoz feltöltött minták is bizonyítanak. Itt is a kontaktlistára, a fájltárolóra, a képekre, a videókra és a ToTok mentésekre (.ttkmbackup adatok) utaznak. Minden ellopott adatot AES algoritmussal titkosítanak.
Ezek alapján megállapítható, hogy a ToSpy futtatásakor elindítja a valódi ToTok alkalmazást (ha az elérhető), ellenkező esetben pedig a Huawei AppGallery-t próbálja megnyitni, hogy az áldozat is telepítse azt.
Állandóság és terjedés, védekezési tippek
Mindkét kémprogram háromféleképpen tartja fenn magát: automatikus újraindulás az Android rendszerhez kapcsolódó AlarmManager segítségével, folyamatos előtérben futó szolgáltatás, illetve a készülék újraindításakor való azonnali aktiválódás.
Fontos hangsúlyozni, hogy csak megbízható forrásból érdemes alkalmazásokat telepíteni, és mindig bekapcsolva kell tartani a Play Protect védelmet – így a már ismert fenyegetések kiszűrhetők maradnak.
