حملتا ProSpy وToSpy على أندرويد تستهدفان مستخدمي الإمارات عبر تطبيقات مزيّفة تنتحل Signal وToTok
كشف باحثو ESET عن حملتي تجسس جديدتين على أندرويد باسم ProSpy وToSpy تستهدفان مستخدمين في الإمارات عبر تطبيقات مزيّفة تنتحل هوية Signal وToTok، مع توزيع عبر مواقع مقلّدة وخداع اجتماعي وإقناع الضحايا بتنزيل حزم APK خبيثة من خارج المتاجر الرسمية.
ملخص التهديد: برمجيات تجسس أندرويد
تبدأ العينات، بعد الحصول على الأذونات، بجمع رسائل SMS وجهات الاتصال وملفات المستخدم ومعلومات الجهاز وإرسالها دورياً إلى خوادم المهاجمين مع الحفاظ على بقاء مستمر عبر خدمات مقدّمة وإعادة التشغيل المجدولة.
ترجّح ESET أن حملة ProSpy نشطة منذ 2024 واكتُشفت في يونيو 2025، فيما تعود حملة ToSpy إلى منتصف 2022 ولا تزال قيد التشغيل وفق خوادم قيادة وسيطرة نشطة.
أساليب الانتشار: مواقع مقلّدة وخداع اجتماعي
تُوزّع البرمجيات عبر مواقع تصيّد تنتحل صفحات Signal أو تسوّق نسخاً مزعومة مثل “ToTok Pro”، وشوهد موقع يقلّد Galaxy Store لجذب المستخدمين لتنزيل نسخة ToTok خبيثة بعيداً عن القنوات الرسمية.
لا تتوفر هذه التطبيقات في المتاجر الرسمية وتتطلب تفعيل “التثبيت من مصادر غير معروفة”، ما يرفع المخاطر على من ينخدعون برسائل تسويقية عن تعزيز التشفير أو الخصوصية.
تفاصيل تقنية: ProSpy وToSpy
تنتحل ProSpy إضافات تشفير مزعومة لـSignal أو نسخة “ToTok Pro” وتظهر لاحقاً كأيقونة “Play Services” لتضليل المستخدم، فيما تُحصي التطبيقات المنصّبة وتستخرج SMS ودفتر العناوين والملفات.
تنتحل ToSpy تطبيق ToTok مع شاشات ترحيب مقلدة وإعادة توجيه لمصادر رسمية لإضفاء المصداقية، وتستهدف امتدادات نسخ محادثات ToTok مثل ttkmbackup فضلاً عن المستندات والصور والصوتيات.
أكّدت ESET مشاركة النتائج مع Google ضمن App Defense Alliance بحيث يحظر Play Protect الإصدارات المعروفة تلقائياً على الأجهزة المتوافقة، ويبقى الحذر واجباً عند أي تثبيت خارج المنظومة.
لماذا الإمارات؟ سياق ToTok
اختيار ToTok كطُعم منطقي بالنظر إلى شعبيته الإقليمية وإزالته من متجري Google وApple في 2019 بسبب مخاوف المراقبة، ما يدفع بعض المستخدمين للبحث عن بدائل APK غير رسمية سهلة الاستغلال.
ترجّح ESET الاستهداف الجغرافي المركّز استناداً لنطاقات تحمل مقطع ae.net وتليمترية إصابات مصدرها أجهزة في الإمارات.
التخفيف: أفضل الممارسات والأدوات
- الاقتصار على متاجر رسمية وتجنّب “مصادر غير معروفة” والتحقق من هوية مواقع المطورين قبل أي تنزيل يدوي.
- مراجعة الأذونات والحذر من تغيّر الأيقونات والأسماء بعد التثبيت مثل “Play Services”.
- تشغيل Google Play Protect وتحديث النظام والتطبيقات وإزالة أي تطبيق مريب مع فحص أمني والإبلاغ.
- للمؤسسات: فرض سياسات تمنع التثبيت خارج المتاجر وإضافة مؤشرات الاختراق المنشورة إلى منظومات المراقبة وتوعية الموظفين.
متابعة أوسع وروابط موثوقة
وفّرت ESET تحليلاً تفصيلياً ومؤشرات اختراق، كما دعمت منصات مستقلة مثل Help Net Security وThe Hacker News الخلاصة العامة حول التنكر كتطبيقات تراسل وتوزيع عبر مواقع مقلّدة وخداع اجتماعي.
للاطلاع على التفاصيل التقنية والبيانات، يمكن الرجوع إلى WeLiveSecurity وESET Newsroom وHelp Net Security وThe Hacker News [web:72][web:71][web:74][web:78].
