Los investigadores de ciberseguridad han descubierto dos campañas de spyware de Android dobladas Prospía y Tospy que se hace pasar por aplicaciones como Signal y Totok para atacar a los usuarios en los Emiratos Árabes Unidos (EAU).
La compañía de ciberseguridad eslovacia, ESET, dijo que las aplicaciones maliciosas se distribuyen a través de sitios web falsos e ingeniería social para engañar a los usuarios desprevenidos para que las descarguen. Una vez instaladas, ambas cepas de malware del spyware establecen un acceso persistente a dispositivos Android comprometidos y datos exfiltrados.
«Ninguna aplicación que contenga el spyware estaba disponible en las tiendas oficiales de aplicaciones; ambas requeridas por la instalación manual de sitios web de terceros que se posan como servicios legítimos», el investigador de Eset Lukáš Štefanko dicho. En particular, uno de los sitios web que distribuye la familia de malware Tospy imitó la tienda Samsung Galaxy, atrayendo a los usuarios a descargar e instalar una versión maliciosa de la aplicación Totok «.
Se cree que la campaña de prospy, descubierta en junio de 2025, estaba en curso desde 2024, aprovechando sitios web engañosos disfrazados de señal y TOTOK para alojar archivos APK atrapados por Booby que afirman ser actualizaciones de las aplicaciones respectivas, a saber, el encriptación de señal y Totok Pro.
El uso de Totok como señuelo no es una coincidencia, como lo fue la aplicación remoto de Google Play y Apple App Store en diciembre de 2019 debido a preocupaciones que actuó como una herramienta de espionaje para el gobierno de los EAU, cosechando las conversaciones, ubicaciones y otros datos de los usuarios.
Los desarrolladores de Totok después pasó a afirmar La eliminación fue un «ataque perpetrado contra nuestra empresa por aquellos que tienen una posición dominante en este mercado» y que la aplicación no espía a los usuarios.
Las aplicaciones Rogue Prospy están diseñadas para solicitar permisos para acceder a contactos, mensajes SMS y archivos almacenados en el dispositivo. También es capaz de exfiltrar la información del dispositivo.
Eset dijo que su telemetría también marcó a otra familia de spyware de Android distribuida activamente en la naturaleza y se dirigió a los usuarios en la misma región al mismo tiempo que se detectó Prospy. La campaña Tospy, que probablemente comenzó el 30 de junio de 2022, y actualmente está en curso, ha aprovechado los sitios falsos que se hacen pasar por la aplicación Totok para entregar el malware.
Las campañas centradas en región se centran en robar archivos de datos confidenciales, medios de comunicación, contactos y copias de seguridad de chat, con la aplicación Totok Pro propagada en el clúster Prospy con un botón «Continuar» que, cuando se aprovecha, redirige al usuario a la página de descarga oficial en el navegador web e instruye para descargar la aplicación real.
«Esta redirección está diseñada para reforzar la ilusión de legitimidad», dijo Eset. «Cualquier lanzamiento futuro de la aplicación Maliciosa Totok Pro abrirá la aplicación Real Totok, enmascarando efectivamente la presencia del Spyware. Sin embargo, el usuario aún verá dos aplicaciones instaladas en el dispositivo (Totok y Totok Pro), lo que podría ser sospechoso».
El complemento de cifrado de señal, de manera similar, incluye un botón «Habilitar» para engañar a los usuarios para que descarguen la aplicación de mensajería cifrada legítima visitando la señal[.]Sitio de org. Pero a diferencia del caso de Totok Pro, el ícono de la aplicación Rogue Signal se cambia para hacerse pasar por los servicios de Google Play una vez que la víctima lo otorga todos los permisos necesarios.
Independientemente de la aplicación instalada, el spyware integrado dentro de ella exfiltra sigilosamente los datos antes de que los clics del usuario continúen o habiliten. Esto incluye información del dispositivo, mensajes SMS, listas de contactos, archivos y una lista de aplicaciones instaladas.
«De manera similar a Prospy, Tospy también incluye pasos diseñados para engañar aún más a la víctima para que crea que el malware que acaban de instalar es una aplicación legítima», dijo Štefanko. «Después de que el usuario inicia la aplicación Maliciosa Totok, hay dos escenarios posibles: o la aplicación Totok oficial está instalada en el dispositivo o no».
«Si la aplicación oficial TOTOK no está instalada en el dispositivo, Tospy intenta redirigir al usuario a la AppGallery de Huawei, ya sea a través de una aplicación Huawei ya instalada o mediante el navegador predeterminado, lo que sugiere que el usuario descargue la aplicación Totok oficial».
En caso de que la aplicación ya esté instalada en el dispositivo, muestra una pantalla falsa para dar la impresión de que está verificando las actualizaciones de la aplicación antes de iniciar sin problemas la aplicación oficial TOTOK. Sin embargo, en segundo plano, recopila contactos de usuario, archivos que coinciden con ciertas extensiones, información del dispositivo y copias de seguridad de datos TOTOK (*.ttkmbackup).
Para lograr la persistencia, ambas familias de Spyware ejecutan un servicio de primer plano que muestra una notificación persistente, use el AlarmManager de Android para reiniciar repetidamente el servicio de primer plano si se termina, y inicie automáticamente los servicios de fondo necesarios en un reinicio del dispositivo.
Eset dijo que las campañas se están rastreando de manera diferente debido a las diferencias en los métodos de entrega e infraestructura, a pesar de varios puntos en común en el malware desplegado. Actualmente no se sabe quién está detrás de la actividad. Tampoco hay información sobre cuántos o quién específicamente fue atacado por estas campañas, le dijo a Hacker News.
«Los usuarios deben permanecer atentos al descargar aplicaciones de fuentes no oficiales y evitar habilitar la instalación desde orígenes desconocidos, así como al instalar aplicaciones o complementos fuera de las tiendas oficiales de aplicaciones, especialmente aquellos que afirman mejorar los servicios confiables», agregó la compañía.
Actualizar
Google compartió la siguiente declaración con The Hacker News después de la publicación de la historia –
Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en dispositivos Android con los servicios de Google Play. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera del juego.
(La historia se actualizó después de la publicación para incluir una respuesta de Google).
Fuente