Logiciel espion ProSpy
Des chercheurs en cybersécurité ont découvert une campagne sophistiquée de logiciels espions Android appelée ProSpy, qui cible spécifiquement les utilisateurs des Émirats arabes unis (EAU) en se faisant passer pour des applications de messagerie populaires comme Signal et ToTok. Cette campagne s'appuie sur des tactiques trompeuses pour inciter les utilisateurs à installer des logiciels malveillants, contournant ainsi les plateformes de téléchargement d'applications officielles.
Table des matières
Comment ProSpy se propage
Le malware ProSpy est diffusé via de faux sites web et des techniques d'ingénierie sociale, incitant les utilisateurs à télécharger et installer manuellement des fichiers APK compromis. Ces applications ne sont pas disponibles sur les plateformes d'applications légitimes, ce qui rend l'installation manuelle depuis des sources tierces obligatoire.
La campagne, identifiée pour la première fois en juin 2025 et apparemment active depuis 2024, utilise des sites web se faisant passer pour Signal et ToTok pour proposer des fichiers APK piégés. Ces fichiers sont présentés de manière trompeuse comme des mises à jour, notamment sous des noms tels que Signal Encryption Plugin et ToTok Pro.
Contexte historique : Pourquoi ToTok était une cible
L'utilisation de ToTok comme leurre est particulièrement stratégique. ToTok a été retiré de Google Play et de l'App Store d'Apple en décembre 2019, suite à des allégations selon lesquelles il servait d'outil de surveillance pour le gouvernement des Émirats arabes unis, collectant les conversations, les données de localisation et d'autres informations personnelles des utilisateurs.
Les développeurs de ToTok ont systématiquement nié ces allégations, qualifiant la suppression de l'application de manipulation du marché et affirmant que le logiciel n'espionne pas ses utilisateurs.
Capacités des applications malveillantes
Les applications ProSpy sont conçues pour demander des autorisations étendues sur les appareils, y compris l'accès à :
- Contacts
- messages SMS
- Fichiers stockés sur l'appareil
Le logiciel espion peut exfiltrer des données sensibles, notamment les informations sur l'appareil, les sauvegardes de messagerie et la liste des applications installées. Les chercheurs ont également constaté la présence d'une autre famille de logiciels espions Android opérant simultanément dans la région, suggérant une action de ciblage coordonnée.
Redirection trompeuse pour masquer une activité malveillante
La campagne comprend des tactiques de redirection intelligentes qui renforcent la légitimité des applications :
ToTok Pro
- L'application dispose d'un bouton « CONTINUER », qui dirige les utilisateurs vers la page de téléchargement officielle de ToTok.
- Les futurs lancements de l'application malveillante ouvrent l'application ToTok légitime, masquant ainsi efficacement le logiciel espion.
- Les utilisateurs peuvent remarquer deux applications sur leur appareil (ToTok et ToTok Pro), ce qui pourrait être suspect.
Plugin de cryptage du signal
- Cette application comprend un bouton « ACTIVER » qui guide les utilisateurs vers le site Web officiel de Signal.
- L'icône de l'application malveillante se déguise en services Google Play une fois les autorisations accordées, masquant davantage sa présence.
- Quelle que soit l’application, l’exfiltration de données se produit silencieusement avant que les utilisateurs n’interagissent avec les boutons de redirection, compromettant ainsi les contacts, les messages, les fichiers et d’autres informations sensibles.
Impact régional et implications pour la sécurité
La campagne ProSpy met en évidence les risques liés à l'installation manuelle d'applications provenant de sources non officielles et les menaces persistantes qui ciblent les utilisateurs aux Émirats arabes unis. Ces campagnes démontrent comment les cybercriminels exploitent à la fois les controverses historiques et la confiance dans les applications populaires pour infiltrer les appareils et voler des données.
