Recenti ricerche nel campo della sicurezza informatica hanno portato alla luce due campagne di spyware su Android chiamate ProSpy e ToSpy, che prendono di mira utenti negli Emirati Arabi Uniti sfruttando app false come Signal e ToTok. Queste applicazioni malevole non sono distribuite tramite gli store ufficiali, ma vengono invece offerte su siti web contraffatti che imitano servizi legittimi, con l'obiettivo di ingannare gli utenti e convincerli a installare manualmente file APK infetti.

Una volta installati, sia ProSpy che ToSpy ottengono accesso persistente ai dispositivi Android, riuscendo a sottrarre una vasta gamma di dati sensibili. Tra le informazioni esfiltrate figurano contatti, messaggi SMS, file presenti sul dispositivo, liste delle app installate e informazioni sul dispositivo stesso. Le due campagne sfruttano tattiche di ingegneria sociale e siti che simulano negozi come il Samsung Galaxy Store per aumentare la credibilità dei download fraudolenti.

Il caso di ToTok

Il caso di ToTok è particolarmente significativo: l'app originale era stata già rimossa dagli store ufficiali nel 2019 a causa di preoccupazioni circa l'utilizzo come strumento di spionaggio, in grado di raccogliere conversazioni, posizione e dati degli utenti per conto di governi locali. I creatori delle versioni spyware sfruttano questa notorietà e la popolarità dell'app per attirare nuovi utenti con versioni modificate e pericolose.

Funzionamento e tattiche delle app malevole

Il funzionamento delle app malevole è raffinato. Ad esempio, la versione ProSpy mostra un pulsante CONTINUA che reindirizza l'utente al sito ufficiale per scaricare la vera app, così da rafforzare la percezione di autenticità. ToSpy utilizza trucchi simili, mostrando schermate di aggiornamento fittizie o reindirizzando alla Huawei AppGallery per convincere l'utente di aver installato una versione legittima. Tuttavia, nel frattempo, il malware resta attivo in background continuando a raccogliere dati e mantenendo la persistenza tramite notifiche e servizi Android configurati per riavviarsi automaticamente.

Raccomandazioni degli esperti

L'infrastruttura e le modalità di distribuzione differiscono tra ProSpy e ToSpy, ma entrambe le campagne condividono l'obiettivo di colpire utenti consapevoli della privacy nella regione mediorientale. Gli esperti sottolineano l'importanza di scaricare sempre app solo da fonti ufficiali e di evitare l'installazione da siti sconosciuti, soprattutto se le app promettono di migliorare servizi già affidabili. Rimanere vigili è fondamentale per proteggere i propri dati da queste sofisticate minacce spyware.