ESET ha scoperto due famiglie di spyware Android focalizzate su chi utilizza app di messaggistica e che prendono di mira in particolare i residenti negli Emirati Arabi Uniti (UAE). Le campagne Android/Spy.ProSpy e Android/Spy.ToSpy sono progettate per sottrarre file, contatti e chat, attraverso siti web ingannevoli e tecniche di social engineering. Android/Spy.ProSpv si presenta come aggiornamento o plug-in delle app Signal e ToTok (quest’ultima controversa e ormai dismessa), mentre Android/Spy.ToSpy imita la stessa ToTok. Le campagne ToSpy risultano tuttora attive, come dimostrano i server di C&C ancora operativi.
Spyware che si sviluppano da strategie di distribuzione ben definite
Lukáš Štefanko, ricercatore ESET che ha effettuato la scoperta Nessuna delle app contenenti lo spyware era disponibile negli store ufficiali: entrambe richiedevano l’installazione manuale da siti di terze parti che si spacciavano per servizi legittimi. In particolare, uno dei siti che distribuiva la famiglia ToSpy imitava il Galaxy Store di Samsung.
Inducendo così gli utenti a scaricare e installare manualmente una versione malevola dell’app ToTok. Una volta installate, entrambe le famiglie di spyware mantengono la persistenza e continuano a esfiltrare dati e file sensibili dai dispositivi Android compromessi. Le rilevazioni negli Emirati Arabi Uniti e l’uso combinato di phishing e app store falsi suggeriscono operazioni mirate a livello regionale con strategie di distribuzione ben definite.
File APK malevoli che sembrano aggiornamenti o miglioramenti
ESET Research ha individuato la campagna ProSpy nel giugno 2025, attiva con ogni probabilità già dal 2024. ProSpy viene distribuita attraverso tre siti web ingannevoli progettati per imitare le piattaforme di messaggistica Signal e ToTok. Questi siti offrono file APK malevoli che si presentano come aggiornamenti o miglioramenti, mascherati da “Signal Encryption Plugin” e “ToTok Pro”. L’utilizzo di un dominio con la stringa finale ae.net potrebbe indicare che la campagna sia rivolta agli utenti residenti negli UAE, dato che AE è il codice del Paese.
I problemi legati all’app gratuita di messaggistica ToTok
ESET ha anche scoperto 5 file APK malevoli basati sullo stesso codice spyware, che si fingevano versioni potenziate dell’app ToTok sotto il nome ‘ToTok Pro’. ToTok, un’app gratuita di messaggistica e chiamate sviluppata negli Emirati Arabi Uniti, è stata rimossa da Google Play e dall’App Store di Apple nel dicembre 2019 a causa di preoccupazioni legate alla sorveglianza.
Considerando che la base utenti di ToTok è concentrata principalmente negli UAE, è plausibile che ToTok Pro prenda di mira gli utenti della regione, più propensi a scaricare l’app da fonti non ufficiali locali. Al momento dell’esecuzione, entrambe le app malevole richiedono autorizzazioni per accedere a contatti, SMS e file archiviati sul dispositivo. Se tali autorizzazioni vengono concesse, ProSpy avvia l’esfiltrazione dei dati in background. Il Signal Encryption Plugin estrae informazioni sul dispositivo, messaggi SMS memorizzati, elenco contatti e altri file, come backup delle chat, file audio, video e immagini.
Uno spyware partito a metà 2022
Nel giugno 2025, i sistemi di telemetria di ESET hanno individuato un’altra famiglia di spyware Android precedentemente sconosciuta, attivamente distribuita e originata da un dispositivo situato negli Emirati Arabi Uniti. ESET ha etichettato il malware come Android/Spy.ToSpy. Le successive indagini hanno rivelato 4 siti web ingannevoli che imitavano l’app ToTok. Considerata la popolarità regionale dell’app e le tecniche di imitazione utilizzate dagli attaccanti, è ragionevole ipotizzare che i principali obiettivi di questa campagna siano utenti degli Emirati Arabi Uniti o di aree limitrofe.
Operazione spyware
In background, lo spyware può raccogliere ed esfiltrare diversi tipi di dati. Tra questi contatti, informazioni del dispositivo, file come backup delle chat, immagini, documenti, file audio e video. I risultati di ESET suggeriscono che la campagna ToSpy sia iniziata a metà del 2022.
Attenzione alle app non ufficiali
Lukáš Štefanko, ricercatore ESET che ha effettuato la scoperta Gli utenti dovrebbero prestare particolare attenzione quando scaricano app da fonti non ufficiali. Inoltre evitare di abilitare l’installazione da origini sconosciute, così come durante l’installazione di app o componenti aggiuntivi al di fuori degli store ufficiali. In particolare quelli che dichiarano di migliorare servizi affidabili.
