Los investigadores de ciberseguridad han descubierto dos campañas de spyware para Android denominadas ProSpy y Para espiar que se hacen pasar por aplicaciones como Signal y ToTok para dirigirse a usuarios de los Emiratos Árabes Unidos (EAU).
La empresa eslovaca de ciberseguridad ESET dijo que las aplicaciones maliciosas se distribuyen a través de sitios web falsos e ingeniería social para engañar a los usuarios desprevenidos para que las descarguen. Una vez instaladas, ambas cepas de software espía y malware establecen un acceso persistente a los dispositivos Android comprometidos y filtran los datos.
«Ninguna de las aplicaciones que contenía el spyware estaba disponible en las tiendas de aplicaciones oficiales; ambas requerían la instalación manual desde sitios web de terceros que se hacían pasar por servicios legítimos», dijo el investigador de ESET Lukáš Štefanko dijo . Cabe destacar que uno de los sitios web que distribuían la familia de malware ToSpy imitaba la tienda Samsung Galaxy Store, lo que incitaba a los usuarios a descargar e instalar manualmente una versión maliciosa de la aplicación ToTok».
Se cree que la campaña ProSpy, descubierta en junio de 2025, ha estado en marcha desde 2024, y aprovecha sitios web engañosos que se hacen pasar por Signal y ToTok para alojar archivos APK con trampas explosivas que afirman ser actualizaciones de las aplicaciones respectivas, a saber, Signal Encryption Plugin y ToTok Pro.
El uso de ToTok como señuelo no es casualidad, ya que la aplicación lo era eliminado de Google Play y Apple App Store en diciembre de 2019 debido a preocupa que actuó como una herramienta de espionaje para el gobierno de los Emiratos Árabes Unidos, recopilando las conversaciones, ubicaciones y otros datos de los usuarios.
Los desarrolladores de ToTok posteriormente pasó a reclamación la eliminación fue un «ataque perpetrado contra nuestra empresa por quienes ocupan una posición dominante en este mercado» y porque la aplicación no espía a los usuarios.
Las aplicaciones fraudulentas de ProSpy están diseñadas para solicitar permisos para acceder a los contactos, los mensajes SMS y los archivos almacenados en el dispositivo. También es capaz de filtrar la información del dispositivo.
ESET dijo que su telemetría también detectó otra familia de programas espía para Android distribuidos activamente en la naturaleza y dirigidos a usuarios de la misma región aproximadamente al mismo tiempo que se detectó ProSpy. La campaña ToSpy, que probablemente comenzó el 30 de junio de 2022 y que actualmente continúa, ha aprovechado sitios falsos que se hacen pasar por la aplicación ToTok para distribuir el malware.
Las campañas centradas en la región se centran en el robo de archivos de datos confidenciales, archivos multimedia, contactos y copias de seguridad de chats. La aplicación ToTok Pro se propaga en el clúster ProSpy y cuenta con un botón «CONTINUAR» que, al pulsarlo, redirige al usuario a la página de descarga oficial del navegador web y le indica que descargue la aplicación real.
«Esta redirección está diseñada para reforzar la ilusión de legitimidad», dijo ESET. «En el futuro, cualquier lanzamiento de la aplicación maliciosa ToTok Pro abrirá la aplicación ToTok real, ocultando de manera efectiva la presencia del spyware. Sin embargo, el usuario seguirá viendo dos aplicaciones instaladas en el dispositivo (ToTok y ToTok Pro), lo que podría resultar sospechoso».
El complemento Signal Encryption, de manera similar, incluye un botón «HABILITAR» para engañar a los usuarios para que descarguen la aplicación de mensajería cifrada legítima visitando el sitio signal [.] org. Pero a diferencia del caso de ToTok Pro, el icono de la aplicación falsa Signal se cambia para hacerse pasar por los servicios de Google Play una vez que la víctima le concede todos los permisos necesarios.
Independientemente de la aplicación instalada, el software espía integrado en ella filtra sigilosamente los datos antes de que el usuario haga clic en CONTINUAR o HABILITAR. Esto incluye la información del dispositivo, los mensajes SMS, las listas de contactos, los archivos y una lista de las aplicaciones instaladas.
«Al igual que ProSpy, ToSpy también incluye medidas diseñadas para engañar aún más a la víctima haciéndole creer que el malware que acaba de instalar es una aplicación legítima», dijo Štefanko. «Cuando el usuario lanza la aplicación ToTok maliciosa, hay dos escenarios posibles: o la aplicación oficial de ToTok está instalada en el dispositivo o no».
«Si la aplicación oficial de ToTok no está instalada en el dispositivo, ToSpy intenta redirigir al usuario a la AppGallery de Huawei, ya sea a través de una aplicación de Huawei ya instalada o mediante el navegador predeterminado, sugiriendo al usuario que descargue la aplicación oficial de ToTok».
En el caso de que la aplicación ya esté instalada en el dispositivo, muestra una pantalla falsa para dar la impresión de que está comprobando si hay actualizaciones de la aplicación antes de iniciar sin problemas la aplicación oficial de ToTok. Sin embargo, en segundo plano, recopila los contactos de los usuarios, los archivos que coinciden con determinadas extensiones, la información del dispositivo y las copias de seguridad de los datos de ToTok (*.ttkmbackup).
Para lograr la persistencia, ambas familias de software espía ejecutan un servicio en primer plano que muestra una notificación persistente, utilizan el AlarmManager de Android para reiniciar repetidamente el servicio en primer plano si finaliza y lanzan automáticamente los servicios en segundo plano necesarios al reiniciar el dispositivo.
ESET dijo que las campañas se rastrean de manera diferente debido a las diferencias en los métodos de entrega y la infraestructura, a pesar de varios puntos en común en el malware desplegado. Actualmente no se sabe quién está detrás de la actividad.
«Los usuarios deben permanecer atentos al descargar aplicaciones de fuentes no oficiales y evitar permitir la instalación desde orígenes desconocidos, así como al instalar aplicaciones o complementos fuera de las tiendas de aplicaciones oficiales, especialmente aquellas que afirman mejorar los servicios confiables», agregó la empresa.