Pesquisadores de cibersegurança identificaram duas campanhas de spyware para Android, batizadas de ProSpy e ToSpy, que se passam por aplicativos como Signal e ToTok para atacar usuários nos Emirados Árabes Unidos (EAU).
De acordo com a empresa de segurança eslovaca ESET, os apps maliciosos são distribuídos por meio de sites falsos e técnicas de engenharia social, enganando usuários desavisados para que façam o download manual.
Após a instalação, ambas as variantes de malware garantem acesso persistente ao dispositivo Android comprometido e roubam dados sigilosos.
“Nenhum dos aplicativos que contém o spyware estava disponível em lojas oficiais; ambos precisam ser instalados manualmente a partir de sites de terceiros que se passam por serviços legítimos”, explicou o pesquisador da ESET Lukáš Štefanko.
Um dos sites usados para distribuir a família ToSpy chegou a imitar a Samsung Galaxy Store, atraindo usuários para baixar e instalar uma versão maliciosa do app ToTok.
A campanha ProSpy, descoberta em junho de 2025, possivelmente já operava desde 2024.
Ela utiliza sites fraudulentos que fingem ser o Signal e o ToTok para hospedar arquivos APK infectados, apresentados como atualizações dos aplicativos verdadeiros — o Signal Encryption Plugin e o ToTok Pro.
O uso do ToTok como isca não é casual.
O app foi removido do Google Play e da Apple App Store em dezembro de 2019, após suspeitas de que atuava como uma ferramenta de espionagem do governo dos EAU, coletando conversas, localização e outros dados dos usuários.
Os desenvolvedores do ToTok negaram as acusações, alegando que a remoção foi “um ataque orquestrado contra nossa empresa por atores dominantes no mercado” e afirmando que o app não espiona os usuários.
Os aplicativos falsos ProSpy pedem permissões para acessar contatos, mensagens SMS e arquivos armazenados no dispositivo, além de coletar informações sobre o próprio aparelho.
A ESET também identificou outra campanha ativa de spyware para Android, a ToSpy, que começou em 30 de junho de 2022 e continua em andamento, distribuindo malware via sites falsos que imitam o app ToTok.
Essas campanhas focadas na região têm como objetivo roubar arquivos sensíveis, mídia, contatos e backups de conversas.
No caso do ToTok Pro, ligado à campanha ProSpy, o app exibe um botão “CONTINUE” que, ao ser acionado, redireciona o usuário para a página oficial de download pelo navegador, orientando a instalação do app legítimo.
“Esse redirecionamento reforça a ilusão de legitimidade”, afirmou a ESET.
“Futuras execuções do ToTok Pro malicioso abrirão o app oficial, mascarando a presença do spyware.
No entanto, dois apps ficarão instalados no dispositivo (ToTok e ToTok Pro), o que pode levantar suspeitas.”
De forma semelhante, o Signal Encryption Plugin exibe um botão “ENABLE”, que engana o usuário ao direcioná-lo ao site oficial do Signal para baixar o aplicativo legítimo de mensagens criptografadas.
Diferente do ToTok Pro, porém, o ícone do app Signal falso é alterado para se parecer com o Google Play Services assim que o usuário concede todas as permissões solicitadas.
Independentemente do aplicativo instalado, o spyware embutido realiza a exfiltração dos dados silenciosamente, antes mesmo de o usuário clicar em CONTINUE ou ENABLE.
Entre as informações roubadas estão dados do dispositivo, mensagens SMS, listas de contatos, arquivos e a lista de apps instalados.
“Assim como no ProSpy, o ToSpy também usa artifícios para enganar a vítima e fazê-la acreditar que instalou um app legítimo”, destacou Štefanko.
“Após abrir o ToTok malicioso, dois cenários podem ocorrer: o app oficial ToTok está instalado, ou não.”
Se o app oficial não estiver presente, o ToSpy tenta redirecionar o usuário para a Huawei AppGallery, tanto por meio de um app Huawei já instalado quanto pelo navegador padrão, sugerindo o download do ToTok oficial.
Caso o app já esteja instalado, o malware exibe uma tela falsa simulando verificação de atualizações antes de lançar silenciosamente o ToTok original.
Mesmo assim, em segundo plano, ele coleta contatos, arquivos com extensões específicas, informações do dispositivo e backups do ToTok (*.ttkmbackup).
Para garantir persistência, ambas as famílias de spyware executam um serviço em foreground que mantém uma notificação constante, usam o AlarmManager do Android para reiniciar o serviço automaticamente caso seja encerrado e ativam os serviços de background necessários após a reinicialização do dispositivo.
Apesar das semelhanças entre os malwares, a ESET afirma que as campanhas são monitoradas separadamente devido às diferenças nos métodos de distribuição e infraestrutura.
Até o momento, a autoria dos ataques permanece desconhecida.
“A recomendação é que os usuários fiquem atentos ao baixar apps de fontes não oficiais e evitem habilitar a instalação por origens desconhecidas, assim como sejam cautelosos ao instalar aplicativos ou complementos fora das lojas oficiais, especialmente aqueles que dizem melhorar serviços confiáveis”, alertou a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...