Alerta: Cuidado com Spyware Android Disfarçado como Plugin de Criptografia do Signal e ToTok Pro

Data: 2 de outubro de 2025
Autor: Ravie Lakshmanan
Categoria: Malware / Segurança Móvel

Pesquisadores de segurança cibernética da ESET descobriram duas campanhas de spyware Android chamadas ProSpy e ToSpy que se passam por aplicativos como Signal e ToTok para atingir usuários nos Emirados Árabes Unidos (EAU).

Principais Características das Campanhas

Distribuição:

• Aplicativos maliciosos distribuídos via sites falsos e engenharia social
• Nenhum app disponível em lojas oficiais - instalação manual necessária
• Sites falsos imitam serviços legítimos, incluindo Samsung Galaxy Store

Funcionalidades do Spyware:

• Acesso persistente a dispositivos Android comprometidos
• Exfiltração de dados como informações do dispositivo, SMS, contatos e arquivos
• Solicitação de permissões para acessar contatos, mensagens SMS e arquivos

Técnicas de Engano

ProSpy (ativo desde 2024):

• Disfarçado como "Signal Encryption Plugin" e "ToTok Pro"
• Botões "CONTINUE" e "ENABLE" redirecionam para apps legítimos
• Ícone do Signal malicioso muda para imitar Google Play Services

ToSpy (ativo desde junho de 2022):

• Redireciona para Huawei AppGallery ou app oficial ToTok
• Exibe tela falsa de verificação de atualizações
• Coleta backups de dados ToTok (*.ttkmbackup)

Persistência

Ambas as famílias de spyware utilizam:

• Serviço em primeiro plano com notificação persistente
• AlarmManager para reiniciar serviços se terminados
• Inicialização automática após reinicialização do dispositivo

Recomendações de Segurança

• Evitar download de apps de fontes não oficiais
• Não habilitar instalação de origens desconhecidas
• Desconfiar de apps ou complementos fora das lojas oficiais
• Especialmente cautela com serviços que afirmam melhorar serviços confiáveis

A ESET alerta que as campanhas continuam ativas e a origem dos ataques permanece desconhecida.