Шпионские приложения под видом Signal⋆ и ToTok атакуют пользователей в ОАЭ

По данным исследовательской компании ESET, специалисты обнаружили две новые шпионские кампании, ориентированные на пользователей, ищущих безопасные мессенджеры, такие как Signal⋆ и ToTok. Атаки проводятся через поддельные веб-сайты и социальную инженерию.

Исследователи выявили две ранее неизвестные семьи шпионского ПО. Android/Spy. ProSpy позиционируется как обновления или дополнения к приложению Signal⋆ и устаревшему мессенджеру ToTok, в то время как Android/Spy. ToSpy выдает себя за сам ToTok. Второй из этих шпионских проектов до сих пор активен — команды-контроля, поддерживающие его работу, остаются в сети.

Сообщается, что ни одно из приложений, содержащих шпионское ПО, не было доступно в официальных магазинах приложений. Для установки требовалось вручную загрузить APK-файлы с неподтвержденных сайтов, имитирующих легальные сервисы. Один из сайтов, распространяющих ToSpy, копировал интерфейс Samsung Galaxy Store, что усилило обманчивость источника.

Способы распространения и целевые регионы

Кампания ProSpy была обнаружена в июне 2025 года, однако, по имеющимся данным, она активна с 2024 года. Шпионское ПО распространяется через три поддельных сайта, имитирующих Signal⋆ и ToTok. Эти ресурсы предлагают вредоносные APK-файлы под названиями Signal⋆ Encryption Plugin и ToTok Pro. Один из доменов заканчивается на .ae.net, что может указывать на ориентацию кампании на пользователей в Объединенных Арабских Эмиратах.

В ходе расследования исследователи обнаружили пять дополнительных вредоносных APK-файлов, созданных на основе того же шпионского кода. Они выдавались за обновленную версию ToTok под названием ToTok Pro. Сам ToTok, разработанный в ОАЭ, был удален из Google Play и App Store в декабре 2019 года из-за опасений по поводу слежки. Учитывая, что большинство его пользователей находятся в ОАЭ, можно предположить, что ToTok Pro ориентирован именно на эту аудиторию, которая, возможно, склонна загружать приложения с неофициальных источников.

Механизм работы шпионского ПО

После запуска обе шпионские программы запрашивают доступ к контактам, SMS-сообщениям и файлам на устройстве. Если пользователь разрешает эти разрешения, ProSpy начинает передавать данные в фоновом режиме. Signal⋆ Encryption Plugin собирает информацию о устройстве, хранящиеся SMS, контакты, а также другие файлы, такие как резервные копии чатов, аудио, видео и изображения.

i

Создано специально для ASECTOR

Концептуальное изображение

В июне 2025 года ESET выявила еще одну ранее неизвестную семью шпионского ПО под названием Android/Spy. ToSpy. Активность была зафиксирована с устройства в ОАЭ. В ходе дополнительного анализа исследователи обнаружили четыре поддельных сайта, выдающих себя за ToTok. Учитывая популярность ToTok в регионе и тактику маскировки, можно предположить, что основные цели — пользователи в ОАЭ и прилегающих территориях. Шпионское ПО работает скрытно, собирая и передавая контакты, информацию об устройстве, резервные копии чатов, изображения, документы, аудио, видео и другие файлы. По оценкам ESET, кампания ToSpy началась, вероятно, во второй половине 2022 года.

Рекомендации для пользователей включают осторожность при загрузке приложений с неофициальных источников, а также избегание активации установки из неизвестных источников. Особенно важно соблюдать меры предосторожности при установке приложений или дополнений вне официальных магазинов, особенно если они обещают улучшить работу проверенных сервисов.

Угрозы безопасности: зачем имитировать мессенджеры и как это связано с глобальной динамикой киберпространства

Когда безопасность становится ловушкой

С каждым годом пользователи всё больше доверяют мессенджерам, позиционирующим себя как защищённые от прослушивания и утечек данных. Однако доверие может стать уязвимостью, если злоумышленники используют это восприятие для маскировки своих действий. Новые шпионские кампании, направленные на имитацию популярных мессенджеров, — это не только технический трюк. Это часть более широкой стратегии, которая сочетает в себе элементы цифровой дезинформации, геополитических интересов и экономических выгод.

Важно понимать: такие атаки не случайны. Они нацелены на пользователей, которые уже сформировали устойчивую привычку к определённым сервисам. Злоумышленники не только копируют интерфейсы — они используют психологию доверия. Например, имитация Samsung Galaxy Store для распространения ToSpy — это не техническая ошибка, а точно продуманная стратегия, чтобы пользователь не задумывался, откуда берётся APK-файл.

Важный нюанс: Угроза не в самой атаке, а в том, что она подчеркивает: доверие к цифровым продуктам становится новой формой уязвимости.

Геополитика в коде: кто выигрывает, а кто проигрывает

Объединённые Арабские Эмираты — не случайный регион для этих атак. ToTok, который был изначально разработан в ОАЭ и позже удалён из магазинов, — это пример того, как локальные сервисы могут стать мишенью для международного внимания. То, что шпионское ПО ориентировано на этот регион, указывает на смежные интересы как государственных, так и частных структур. Возможно, цель — не только сбор данных, но и наблюдение за политическими и экономическими процессами в стране.

С другой стороны, такие атаки могут стать катализатором для усиления цифровой автономии. Если пользователи в ОАЭ и других странах начнут сомневаться в безопасности даже своих собственных сервисов, это может спровоцировать рост интереса к локализованным решениям — например, к российским мессенджерам. Но здесь возникает парадокс: если российские сервисы начнут пользоваться спросом за рубежом, они сами могут стать мишенями для аналогичных атак.

Важный нюанс: Геополитические конфликты всё чаще проявляются в виде цифровых атак, где мессенджеры становятся инструментом влияния.

Рост угроз: как цифровые атаки меняются

В 2025 году эксперты зафиксировали резкий рост атак на Android-устройства в России. Количество пользователей, столкнувшихся с мобильным банковским троянцем Mamont, выросло в 36 раз по сравнению с 2024 годом, а число атак Triada — в пять раз. Эти троянцы позволяют злоумышленникам перехватывать СМС, коды подтверждения и даже управлять устройствами. Заражение происходит через вредоносные APK-файлы и поддельные приложения, часто распространяемые через мессенджеры.

Такие атаки усиливают важность контроля за источниками загрузки и использования антивирусных решений. Особенно это касается пользователей, которые активно используют мессенджеры для обмена файлами. В контексте роста угроз становится очевидным, что доверие к цифровым продуктам требует дополнительных мер защиты, включая обучение пользователей и усиление технических барьеров.

Важный нюанс: Рост атак на Android-устройства в 36 раз показывает, что мобильная безопасность стала приоритетом для российского бизнеса и пользователей.

Социальная инженерия: новая точка атаки

Социальная инженерия остаётся одной из самых эффективных форм кибератак. В августе 2025 года Google сообщила о случаях несанкционированного доступа к информации, связанной с продажами, в результате атаки на приложение, связанное с Salesforce. Злоумышленники манипулировали сотрудником, чтобы получить доступ к данным, включая контактную информацию, названия компаний и внутренние заметки. Хотя аккаунты Gmail и облачные сервисы не пострадали, утечка данных могла быть использована для более точных фишинговых атак.

Аналогичные методы применяются и в других случаях. Например, в первом квартале 2025 года количество подозрительных действий на платформе Salesforce увеличилось в 20 раз. Злоумышленники используют QR-коды и документы, имитирующие рабочие процессы, чтобы обмануть пользователей и получить доступ к данным. Такие атаки особенно эффективны, потому что пользователи привыкли доверять платформам, ориентированным на совместную работу.

Важный нюанс: Социальная инженерия — это не только угроза, это стратегический элемент кибератак, требующий повышения осведомлённости и обучения сотрудников.

Как защититься, если доверять уже нельзя

Пользователи, особенно в странах с высоким уровнем цифровой активности, должны пересмотреть свои привычки. Установка APK-файлов с неофициальных источников — это самый опасный шаг в современном киберпространстве. Но даже если пользователь не загружает вредоносные приложения, он может стать жертвой социальной инженерии, например, через фишинговые ссылки, имитирующие обновления Signal⋆ или ToTok.

Для бизнеса и государственных структур важно учитывать, что такие атаки — это не только техническая проблема. Это риск для информационной безопасности на уровне стратегии. В России, где уже существует ряд собственных мессенджеров, важно не только развивать их, но и поддерживать высокий уровень доверия к ним. Это включает в себя прозрачность в работе, защиту от внешних атак и активное информирование пользователей.

Важный нюанс: Доверие к цифровым продуктам — это ресурс, который можно утратить за один день. Защитить его — долгосрочная стратегия.