Kémprogram-kampányok Androidra
Az ESET kutatása szerint az Egyesült Arab Emírségek felhasználói körében megjelent két, eddig ismeretlen Android-kémprogramkampány, amelyek kifejezetten a privát életüket fontosnak tartó felhasználókat célozzák.
Az egyik kampány, ProSpy, hamis Signal vagy ToTok plugineket kínál – például Signal Encryption Plugin vagy ToTok Pro néven – amelyeket a felhasználóknak manuálisan kell telepíteniük. Ezek az alkalmazások jogosnak tűnnek, de valójában titkos adatgyűjtést végeznek. A másik, ToSpy nevű kampány célja kizárólag a ToTok alkalmazás hitelesnek tűnő másolataként működni, így becsapva a gyanútlan felhasználókat.
A telepített kémprogramok széles körben hozzáférést kérnek és kapnak: a rendszer adatait, SMS-eket, névjegyeket, fájlokat gyűjtik, majd titkosítva továbbítják a vezérlőszerverek felé. A ToSpy-kampány különösen érdeklődik az .ttkmbackup kiterjesztésű fájlok iránt — ezek ToTok üzenetmentései lehetnek.
Az alkalmazások futás közben megpróbálják elrejteni magukat: ikonjuk, nevük változhat, gyakran átirányítják a felhasználót a legitim alkalmazások letöltési oldalára, és különféle trükkökkel igyekeznek fenntartani működésüket (pl. háttérszolgáltatás, bootkor indulás).
A kampányok regionális fókuszúak, az infrastruktúra és domainnevek régióközpontúak (pl. .ae domain), és legalább egy, ToSpy-hoz tartozó domainek jelenleg is aktívak.
Védekezésként az ESET hangsúlyozza, hogy kerüljük az ismeretlen forrásból történő APK-telepítéseket, ne engedélyezzük ismeretlen forrásokból való telepítés opciót, és csak hivatalos alkalmazásboltokból telepítsünk appokat.
