In breve

• Sono state scoperte due importanti campagne di spyware Android, ProSpy e ToSpy, che prendono di mira gli utenti degli Emirati Arabi Uniti.
• Il malware, camuffato da Signal Encryption Plugin e ToTok Pro, è stato diffuso tramite siti web falsi, non attraverso gli store ufficiali.
• Le vittime sono state indotte a scaricare app malevole che rubano contatti, messaggi, file e backup delle chat.
• Entrambe le famiglie di spyware utilizzano tecniche avanzate per nascondersi e persistere sui dispositivi, arrivando persino a imitare app legittime.
• Gli esperti invitano gli utenti a evitare il download di app da fonti non ufficiali e a mantenere attive le protezioni di sicurezza.

L’illusione della sicurezza: quando le app sicure si ribellano

Immagina di cercare una serratura per proteggere i tuoi segreti, solo per scoprire che la serratura stessa è una trappola nascosta. Questa è la sconcertante realtà per gli utenti Android negli Emirati Arabi Uniti, dove nomi affidabili della messaggistica privata - Signal e ToTok - sono diventati il camuffamento perfetto per i cybercriminali. Recenti indagini della società di cybersecurity ESET hanno svelato due sofisticate campagne di spyware, denominate ProSpy e ToSpy, che attirano le vittime con falsi aggiornamenti e plugin, solo per sottrarre i loro dati più sensibili.

Un trucco familiare con una nuova variante

Gli stratagemmi sono tanto ingegnosi quanto inquietanti. Creando siti web contraffatti convincenti - alcuni che imitano il Samsung Galaxy Store o la pagina ufficiale di Signal - gli aggressori hanno persuaso gli utenti a installare manualmente pacchetti Android (APK) che promettevano maggiore sicurezza o nuove funzionalità. In realtà, queste app, chiamate Signal Encryption Plugin e ToTok Pro, non sono mai esistite negli store ufficiali. Una volta installate, raccoglievano silenziosamente contatti, messaggi di testo, file e dati di backup, inviando tutto a centri di comando remoti.

L’uso di ToTok come esca è particolarmente significativo. L’app era già nota per essere stata rimossa dagli store Google e Apple nel 2019 a causa di accuse di spionaggio per conto del governo degli Emirati. Quella controversia ha reso la presunta versione “Pro” di ToTok un’esca ideale per utenti attenti alla privacy in cerca di una soluzione alternativa, solo per cadere in una trappola ancora più profonda.

Spyware sotto mentite spoglie: come avviene l’attacco

Sia ProSpy che ToSpy fanno di tutto per apparire legittimi. Dopo aver indotto l’utente all’installazione, le app malevole richiedono permessi che sembrano normali per strumenti di messaggistica - accesso a contatti, SMS e memoria. Ma l’inganno va oltre: ProSpy cambia la propria icona per imitare Google Play Services, mentre ToSpy avvia la vera app ToTok per mascherare la propria presenza. Il malware verifica persino se l’app legittima è presente, reindirizzando l’utente alle pagine di download ufficiali se non lo è, per non destare sospetti.

Dal punto di vista tecnico, lo spyware cripta i dati rubati prima di inviarli, utilizza notifiche in primo piano per persistere sul dispositivo e manipola gli strumenti di pianificazione interni di Android per riavviarsi se viene chiuso. Queste manovre rendono difficile la rilevazione e complicata la rimozione, poiché lo spyware può sopravvivere ai riavvii del dispositivo e confondersi con il rumore di fondo dell’uso quotidiano del telefono.

Contesto e conseguenze: uno sguardo più ampio

Sebbene gli attacchi abbiano preso di mira gli Emirati Arabi Uniti - dove la messaggistica criptata è sia popolare che politicamente sensibile - non si tratta di un caso isolato. A livello globale, i cybercriminali hanno ripetutamente sfruttato la fiducia in app note, da WhatsApp a Telegram, impersonandole su store non ufficiali. Nel 2020, ad esempio, false app di tracciamento COVID-19 sono state utilizzate per installare spyware in diversi paesi. Le campagne ProSpy e ToSpy dimostrano che le tattiche di cyber-spionaggio stanno evolvendo, fondendo sofisticazione tecnica e manipolazione psicologica.

Le scoperte di ESET evidenziano anche una dimensione geopolitica: nelle regioni in cui alcune app sono soggette a restrizioni o sotto osservazione, gli utenti sono più propensi a cercare fonti non ufficiali - diventando così bersagli ideali per gli aggressori. La reale portata e paternità di queste campagne restano sconosciute, ma il messaggio è chiaro: il prezzo della privacy può essere pericolosamente alto quando la fiducia è mal riposta.

WIKICROOK

• APK (Android Package Kit): L’APK è il formato di file per la distribuzione e l’installazione di app su dispositivi Android, simile a un programma di installazione su computer.
• Spyware: Lo spyware è un software che monitora o ruba informazioni dal tuo dispositivo senza il tuo consenso, mettendo a rischio la tua privacy e i tuoi dati.
• Meccanismo di persistenza: Un meccanismo di persistenza è un metodo utilizzato dal malware per rimanere attivo su un sistema, sopravvivendo a riavvii e tentativi di rimozione da parte degli utenti o degli strumenti di sicurezza.
• Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.
• Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o concedere accessi non autorizzati ai sistemi.