• ESET Research heeft twee nog niet-gedocumenteerde Android-spywarefamilies ontdekt, die Android/Spy.ProSpy en Android/Spy.ToSpy werden genoemd.
• ProSpy imiteert zowel Signal als ToTok, terwijl ToSpy zich uitsluitend richt op ToTok-gebruikers.
• Beide malwarefamilies zijn gericht op het exfiltreren van gebruikersgegevens, waaronder documenten, media, bestanden, contacten en chat back-ups.
2 oktober 2025 — Onderzoekers van ESET ontdekten twee Android-spywarecampagnes, gericht op personen met interesse voor veilige communicatie-apps, namelijk Signal en ToTok. Deze campagnes verspreiden malware via misleidende sites en social engineering en lijken zich te richten op inwoners van de Verenigde Arabische Emiraten (VAE). ESET’s onderzoek leidde tot de ontdekking van twee nog niet-gedocumenteerde spywarefamilies: Android/Spy.ProSpy imiteert upgrades of plug-ins voor de Signal-app en de controversiële en stopgezette ToTok-app, en Android/Spy.ToSpy imiteert de ToTok-app. De ToSpy-campagnes draaien nog steeds, zoals blijkt uit Command&Control-servers die nog altijd actief zijn.
“Geen van beide spyware-apps was verkrijgbaar in officiële app stores; beide vereisten handmatige installatie vanaf websites van derden die zich voordeden als legitieme diensten”, zegt Lukáš Štefanko, de ESET-onderzoeker die dit ontdekte. “Een van de sites die de ToSpy-malwarefamilie verspreidde, bootste de Samsung Galaxy Store na en zette gebruikers aan handmatig een schadelijke versie van de ToTok-app te downloaden en te installeren. Na installatie blijven beide spywarefamilies persistent en exfiltreren ze verder gevoelige gegevens en bestanden van gecompromitteerde Android-toestellen. Bevestigde detecties in de VAE alsook het gebruik van phishing en nep-app stores wijzen op regionaal gerichte operaties met strategische distributiemechanismen.”
ESET ontdekte de ProSpy-campagne in juni 2025 en deze loopt wellicht al sinds 2024. ProSpy wordt verspreid via drie misleidende websites die zich als de communicatieplatformen Signal en ToTok voordoen. Deze sites bieden kwaadaardige APK’s (Android Package Kit) aan die zich voordoen als updates, vermomd als een Signal Encryption Plugin en ToTok Pro. Het gebruik van een domeinnaam die eindigt op ae.net suggereert dat de campagne gericht is op personen uit de Verenigde Arabische Emiraten, daar AE de landcode voor de VAE is.
Tijdens het onderzoek ontdekte ESET nog vijf kwaadaardige APK’s die dezelfde spyware-codebasis gebruikten en zich voordeden als een verbeterde versie van de ToTok-app onder de naam ToTok Pro. ToTok, een controversiële gratis berichten- en bel-app, ontwikkeld in de VAE, werd in december 2019 verwijderd uit Google Play en de App Store van Apple wegens vragen over toezicht. Daar de gebruikers zich vooral in de VAE bevinden, is het waarschijnlijk dat ToTok Pro zich richt op gebruikers die de app wellicht liever downloaden van niet officiële bronnen in hun eigen regio.
Bij uitvoering vragen beide apps toestemming om toegang te krijgen tot contacten, sms-berichten en bestanden die op het toestel opgeslagen zijn. Eens deze toestemming wordt verleend, begint ProSpy op de achtergrond met het exfiltreren van gegevens. De Signal Encryption Plugin extraheert gegevens zoals opgeslagen sms-berichten en contactenlijsten, en exfiltreert ook andere bestanden, zoals chatback-ups, audio, video en afbeeldingen.
In juni 2025 signaleerde de ESET-telemetrie een andere niet-gedocumenteerde Android-spywarefamilie die actief verspreid werd, afkomstig van een toestel in de VAE. ESET noemde de malware Android/Spy.ToSpy. Later onderzoek vond vier misleidende distributiewebsites die de ToTok-app imiteerden. Door de regionale populariteit van de app en de imitatietactieken van de aanvallers, kan aangenomen worden dat de primaire doelwitten van deze campagne gebruikers zijn in de VAE of naburige regio’s. Op de achtergrond kan de spyware de volgende gegevens verzamelen en exfiltreren: gebruikerscontacten, informatiebestanden zoals chatback-ups, afbeeldingen, documenten, audio en video, enz. Deze resultaten suggereren dat de ToSpy-campagne waarschijnlijk midden 2022 begon.
Štefanko adviseert: “Gebruikers moeten bij het downloaden van apps van niet-officiële bronnen waakzaam blijven en voorkomen dat ze apps installeren vanuit onbekende bronnen, ook bij het installeren van apps of add-ons buiten de officiële app stores, zeker als deze beweren vertrouwde diensten te verbeteren”.
Lees een meer gedetailleerde en technische analyse van Android/Spy.ProSpy en Android/Spy.ToSpy,
bekijk de nieuwste blogpost van ESET Research “New spyware campaigns target privacy-conscious Android users in the UAE” op www.WeLiveSecurity.com .
Volg ESET Research op Twitter (tegenwoordig bekend als X), Bluesky, en Mastodon voor de nieuwste informatie.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
Meer lezen
