- ProSpyおよびToSpyマルウェアキャンペーンがSignalとToTokを偽装し、Androidユーザーに感染
- マルウェアはSMS、連絡先、ファイルを抜き取り、Google Playサービスを装う
- アプリはサードパーティストア経由で拡散、公式アプリソースの利用が推奨される
アラブ首長国連邦およびその周辺地域のAndroidユーザーが、著名なチャットアプリであるSignalやToTokを偽装した2つの悪意あるキャンペーンによって、マルウェアを配布される標的となっています。
ESETのセキュリティ研究者によると、ProSpyおよびToSpyキャンペーンの追跡を2025年6月から開始しましたが、2024年にはすでに始まっていた可能性があると考えられています。
攻撃者は、実在しないSignal暗号化プラグインやToTokアプリのProバージョンを偽造し、ユーザーにマルウェアをダウンロード・実行させる手口を使っています。このトリックに気づかないユーザーは、情報を抜き取られる危険があり、このキャンペーンはデータ流出を目的としています。
安全を守る方法
一度インストールされると、マルウェアはSMSメッセージ、ファイル、連絡先リストへのアクセスを要求し、それらに加えて端末情報、バックアップファイル、他のインストール済みアプリのリストも抜き取ります。
Signal暗号化プラグインはインストール時に自らの名前を「Play Services」に変更し、アイコンも変えて発見や削除を回避します。また、アイコンをタップすると正規のGoogle Playサービスアプリの情報画面が表示されます。
これらのアプリはサードパーティのアプリストアやカスタムウェブサイトを通じて配布されているため、安全を守る最善策は、公式のGoogle PlayストアやApple App Storeなど、信頼できるソースからのみアプリをダウンロードすることです。
Signalは世界中で約7,000万人のユーザーを持つ、人気かつ正規のプライバシー重視チャットアプリです。一方、ToTokはより物議を醸す歴史を持っています。このアプリは2019年にUAEの企業G42によって開発され、無料の音声・ビデオ通話を提供し、WhatsAppやSkypeのようなUAEで制限されているサービスの代替として位置付けられていました。
しかし、その後ToTokは、UAE政府による監視ツールとして利用されている疑いが浮上し、Google PlayストアおよびAppleのApp Storeから削除されましたが、地域では依然として人気があります。
