L’indagine ha portato alla scoperta di due famiglie di spyware Android sconosciute Android/Spy.ProSpy e Android/Spy.ToSpy, progettate per sottrarre file, contatti e chat, che agiscono tramite siti malevoli e store contraffatti. Le campagne utilizzano strategie di distribuzione mirate
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno individuato due campagne di spyware Android rivolte a persone interessate ad app di comunicazione sicura, in particolare Signal e ToTok. Queste campagne diffondono il malware attraverso siti web ingannevoli e tecniche di social engineering e sembrano mirare principalmente ai residenti degli Emirati Arabi Uniti (UAE).
L’indagine di ESET ha portato alla scoperta di due famiglie di spyware precedentemente sconosciute: Android/Spy.ProSpy, che si presenta come aggiornamento o plug-in delle app Signal e ToTok (quest’ultima controversa e ormai dismessa), e Android/Spy.ToSpy, che imita la stessa ToTok. Le campagne ToSpy risultano tuttora attive, come dimostrano i server di C&C ancora operativi.
“Nessuna delle app contenenti lo spyware era disponibile negli store ufficiali: entrambe richiedevano l’installazione manuale da siti di terze parti che si spacciavano per servizi legittimi”, spiega Lukáš Štefanko, ricercatore di ESET che ha effettuato la scoperta. “In particolare, uno dei siti che distribuiva la famiglia ToSpy imitava il Galaxy Store di Samsung, inducendo gli utenti a scaricare e installare manualmente una versione malevola dell’app ToTok. Una volta installate, entrambe le famiglie di spyware mantengono la persistenza e continuano a esfiltrare dati e file sensibili dai dispositivi Android compromessi. Le rilevazioni negli Emirati Arabi Uniti e l’uso combinato di phishing e app store falsi suggeriscono operazioni mirate a livello regionale con strategie di distribuzione ben definite”.
ESET Research ha individuato la campagna ProSpy nel giugno 2025, attiva con ogni probabilità già dal 2024. ProSpy viene distribuita attraverso tre siti web ingannevoli progettati per imitare le piattaforme di messaggistica Signal e ToTok. Questi siti offrono file APK malevoli che si presentano come aggiornamenti o miglioramenti, mascherati da “Signal Encryption Plugin” e “ToTok Pro”. L’utilizzo di un dominio con la stringa finale ae.net potrebbe indicare che la campagna sia rivolta agli utenti residenti negli Emirati Arabi Uniti, dato che AE è il codice del Paese.
Durante l’indagine, ESET ha scoperto altri cinque file APK malevoli basati sullo stesso codice spyware, che si fingevano versioni potenziate dell’app ToTok sotto il nome “ToTok Pro”. ToTok, un’app gratuita di messaggistica e chiamate sviluppata negli Emirati Arabi Uniti, è stata rimossa da Google Play e dall’App Store di Apple nel dicembre 2019 a causa di preoccupazioni legate alla sorveglianza. Considerando che la base utenti di ToTok è concentrata principalmente negli UAE, è plausibile che ToTok Pro prenda di mira gli utenti della regione, più propensi a scaricare l’app da fonti non ufficiali locali.
Al momento dell’esecuzione, entrambe le app malevole richiedono autorizzazioni per accedere ai contatti, ai messaggi SMS e ai file archiviati sul dispositivo. Se tali autorizzazioni vengono concesse, ProSpy avvia l’esfiltrazione dei dati in background. Il “Signal Encryption Plugin” estrae informazioni sul dispositivo, messaggi SMS memorizzati, elenco contatti e altri file, come backup delle chat, file audio, video e immagini.
Nel giugno 2025, i sistemi di telemetria di ESET hanno individuato un’altra famiglia di spyware Android precedentemente sconosciuta, attivamente distribuita e originata da un dispositivo situato negli Emirati Arabi Uniti. ESET ha etichettato il malware come Android/Spy.ToSpy. Le successive indagini hanno rivelato quattro siti web ingannevoli che imitavano l’app ToTok. Considerata la popolarità regionale dell’app e le tecniche di imitazione utilizzate dagli attaccanti, è ragionevole ipotizzare che i principali obiettivi di questa campagna siano utenti degli Emirati Arabi Uniti o di aree limitrofe. In background, lo spyware può raccogliere ed esfiltrare diversi tipi di dati, tra cui contatti, informazioni del dispositivo, file come backup delle chat, immagini, documenti, file audio e video. I risultati di ESET suggeriscono che la campagna ToSpy sia iniziata a metà del 2022.
“Gli utenti dovrebbero prestare particolare attenzione quando scaricano app da fonti non ufficiali ed evitare di abilitare l’installazione da origini sconosciute, così come durante l’installazione di app o componenti aggiuntivi al di fuori degli store ufficiali, in particolare quelli che dichiarano di migliorare servizi affidabili”, avverte Štefanko.
