ESET Research : un nouveau logiciel espion se fait passer pour des applis de messagerie ciblant les Émirats Arabes Unis

 ·       ESET Research a découvert deux familles de logiciels espions Android encore non répertoriées, nommées Android/Spy.ProSpy et Android/Spy.ToSpy.

·       ProSpy se fait passer pour Signal et ToTok, tandis que ToSpy ne cible que les utilisateurs de ToTok.

·       Les deux familles de maliciels exfiltrent les données des utilisateurs, dont les documents, les médias, les fichiers, les contacts et les backups de conversations.

·       Des détections confirmées dans les Émirats Arabes Unis (EAU) et l'utilisation d'applis de phishing et de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes de diffusion stratégiques.

 

MONTREAL, BRATISLAVA, le 2 octobre 2025 — Les chercheurs d'ESET ont découvert deux campagnes de logiciels espions Android ciblant les utilisateurs d'applis de communication sécurisées Signal et ToTok. Ces campagnes diffusent des maliciels via des sites trompeurs et des techniques d'ingénierie sociale et ciblent les résidents des Émirats Arabes Unis. L'enquête d'ESET a permis de découvrir deux familles de logiciels espions encore non répertoriées : Android/Spy.ProSpy se faisant passer pour des mises à jour ou plugins de l'appli Signal et de l'appli controversée et abandonnée ToTok, et Android/Spy.ToSpy qui se fait passer pour l'appli ToTok. Les campagnes ToSpy se poursuivent, comme le suggèrent les serveurs de commande toujours en activité.

 

« Aucune des applis avec le logiciel espion n'était disponible dans les boutiques officielles. Elles nécessitaient une installation manuelle à partir de sites web tiers se faisant passer pour des services légitimes », explique Lukáš Štefanko, le chercheur d’ESET qui a fait la découverte. « Un des sites diffusant la famille de maliciels ToSpy imitait la boutique Samsung Galaxy, incitant les utilisateurs à télécharger et installer manuellement une version malveillante de ToTok. Une fois installées, les deux familles de logiciels persistent et exfiltrent en continu des données et fichiers sensibles des appareils Android compromis. Les détections confirmées aux EAU et le recours à l'hameçonnage et à de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes stratégiques de diffusion. »

 

ESET Research a découvert la campagne ProSpy en juin 2025, et pense qu’elle a probablement débuté en 2024. ProSpy est distribué via trois sites trompeurs se faisant passer pour les plateformes de communication Signal et ToTok. Ces sites proposent des APK (Android Package Kit) malveillants se faisant passer pour des améliorations, déguisées en plugin de chiffrement Signal et ToTok Pro. L'utilisation d'un nom de domaine se terminant par la sous-chaîne ae.net suggère que la campagne cible les personnes résidant aux EAU car AE est le code pays des Émirats Arabes Unis.

 

Lors de l'enquête, ESET a découvert cinq autres APK malveillants avec le même code source que le logiciel espion, se positionnant comme une version améliorée de l'appli de messagerie ToTok sous le nom de ToTok Pro. ToTok, une appli gratuite controversée de messagerie et d'appel développée aux EAU, a été retirée de Google Play et de l'App Store d'Apple en décembre 2019 suite à des problèmes de surveillance. Sa base d'utilisateurs étant principalement située aux EAU, il est probable que ToTok Pro cible les utilisateurs de cette région, plus intéressés de télécharger l'appli à partir de sources non officielles dans leur propre région.

 

Lors de leur exécution, les deux appli demandent l'autorisation d'accéder aux contacts, aux SMS et aux fichiers stockés sur l'appareil. Une fois ces autorisations obtenues, ProSpy commence à exfiltrer les données en arrière-plan. Le plug-in de chiffrement Signal extrait les informations de l'appareil, les SMS stockés et la liste de contacts, et exfiltre d'autres fichiers, tels que les sauvegardes de conversations, les fichiers audio, vidéo et images.

 

En juin 2025, la télémétrie d'ESET a détecté une autre famille de logiciels espions Android, encore non répertoriée et activement diffusée, provenant d'un appareil situé aux Emirats. ESET a nommé le maliciel Android/Spy.ToSpy. Une enquête ultérieure a révélé quatre sites web de distribution trompeurs se faisant passer pour l'appli ToTok. Compte tenu de la popularité régionale de l'appli et des tactiques d'usurpation employées par ses auteurs, on peut supposer que les principales cibles de cette campagne sont des utilisateurs des EAU ou de régions voisines. A l’arrière-plan, le logiciel espion peut collecter et exfiltrer les données suivantes : contacts des utilisateurs, fichiers d'informations sur l'appareil (sauvegardes de conversations, images, documents, fichiers audio et vidéo, etc.). Dès lors, ESET suggèrent que la campagne ToSpy a probablement débuté mi-2022.

 

Et Štefanko de conseiller: « Les utilisateurs doivent rester vigilants lorsqu'ils téléchargent des applis à partir de sources non officielles et éviter d'activer l'installation à partir d'origines inconnues. Cela vaut aussi lorsqu'ils installent des applis ou des modules complémentaires en dehors des boutiques d'applis officielles qui prétendent améliorer les services de confiance ».

 

Pour une analyse plus détaillée et technique d'Android/Spy.ProSpy et d'Android/Spy.ToSpy, consultez le dernier article du blog d'ESET Research “ New spyware campaigns target privacy-conscious Android users in the UAE” sur www.WeLiveSecurity.com.

Suivez ESET Research sur Twitter (aujourd'hui X), Bluesky  et Mastodon pour rester informé(e) de ses dernières actualités.

 

A propos d’ESET

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/.

INFO PRESSE

Catherine d'Adesky catherine@keycommunications.be

PromptLock, eerste door AI aangestuurde ransomware, ontdekt door ESET

 

·       ESET Research ontdekt PromptLock, een nieuw soort ransomware dat GenAI gebruikt om aanvallen uit te voeren.

·       De malware draait op een lokaal toegankelijk AI-taalmodel om in realtime schadelijke Lua-scripts te genereren, compatibel met Windows, Linux en macOS.

·       PromptLock gebruikt een gratis beschikbaar taalmodel dat toegankelijk is via een API, zodat de gegenereerde schadelijke scripts direct naar het geïnfecteerde toestel worden gestuurd.

·       Op basis van vooraf gedefinieerde tekstprompts bepaalt PromptLock zelf of gegevens geëxfiltreerd of versleuteld worden.

·       Hoewel ESET PromptLock als een proof of concept beschouwt, is zijn dreiging zeer reëel.

BRATISLAVA, 28 augustus 2025 — Onderzoekers van ESET ontdekten een nieuw type ransomware dat generatieve kunstmatige intelligentie (GenAI) gebruikt om aanvallen uit te voeren. De malware, PromptLock genaamd, draait een lokaal toegankelijk AI-taalmodel om in realtime kwaadaardige scripts te genereren. Tijdens de infectie beslist de AI zelf welke bestanden doorzocht, gekopieerd of versleuteld worden. Dit is een potentieel keerpunt in de manier waarop cybercriminelen te werk gaan.

De opkomst van tools zoals PromptLock benadrukt een belangrijke verschuiving in het cyberdreigingslandschap", aldus Anton Cherepanov, senior malware-onderzoeker bij ESET, die dit samen met collega-onderzoeker Peter Strýček analyseerde.

PromptLock maakt Lua-scripts compatibel met alle platformen, waaronder Windows, Linux en macOS. Het scant lokale bestanden, analyseert de inhoud en bepaalt, op basis van vooraf gedefinieerde tekstprompts, of de gegevens geëxfiltreerd of versleuteld worden. Een destructieve functie is al in de code ingebouwd, maar blijft voorlopig inactief.

De ransomware gebruikt het SPECK 128-bits encryptiealgoritme en is in Golang geschreven. Vroege varianten waren reeds te zien op het malware-analyseplatform VirusTotal. Hoewel PromptLock voor ESET slechts een proof of concept is, is zijn dreiging toch zeer reëel.

"Met de hulp van AI is het lanceren van geavanceerde aanvallen aanzienlijk eenvoudiger geworden, zodat teams van bekwame ontwikkelaars overbodig zijn", vervolgde Cherepanov. Een goed geconfigureerd AI-model is nu voldoende om complexe, zichzelf aanpassende malware te creëren. Bij een correcte implementatie kunnen dergelijke bedreigingen de detectie en het werk van cybersecurityverdedigers aanzienlijk moeilijker maken."

PromptLock gebruikt een gratis beschikbaar taalmodel dat toegankelijk is via een API. De gegenereerde kwaadaardige scripts worden rechtstreeks naar het geïnfecteerde toestel gestuurd. Opvallend is dat de prompt een Bitcoin-adres bevat, naar verluidt gekoppeld aan Satoshi Nakamoto, de Bitcoin-bedenker.

ESET publiceerde technische details om de cybersecuritygemeenschap hiervan bewust te maken. De malware is geclassificeerd als Filecoder.PromptLock.A.

Volg zeker ESET Research on Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste info over ESET Research.

Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

Catherine d'Adesky

Rentrée scolaire et arnaques en ligne courantes en cette période – explications d’ESET

 Le 27 août 2025 - La rentrée scolaire est une période bénie pour les escrocs qui tentent de voler de l'argent et des données tant des parents que des élèves. Et la situation s'aggrave encore avec l'utilisation d'outils avancés, dont l'IA et les deepfakes. Désormais, ces attaques peuvent être produites plus facilement et plus rapidement, à plus grande échelle et leur contenu frauduleux est toujours plus crédibles.

Les escrocs s’intéressent aux smartphones, car la combinaison d'un écran plus petit et de la facilité d'utilisation du téléphone rend les attaques de phishing quatre fois plus efficaces (four times more successful).

Phishing – L’école a besoin de vos informations, maintenant !

Dans le contexte de la rentrée, les escrocs essayent de se faire passer pour des représentants d’écoles, par exemple en communiquant que les élèves ciblés peuvent bénéficier d’une aide financière ou que leurs comptes scolaires ont expiré.

Arnaques à la livraison – Votre livraison n’est pas arrivée !

Les escrocs peuvent se faire passer pour des services de livraison légitimes. Ils prétendent généralement qu'une livraison n’a pas réussi et que vos informations personnelles ou financières, ou le paiement d'une petite somme, sont exigés. Ces messages frauduleux peuvent aussi contenir un lien permettant de télécharger une appli de suivi de colis, qui est en réalité un maliciel (parcel tracking app, which is, in fact, malware).

Arnaques aux achats en ligne – Vous ne trouverez pas de meilleurs prix !

Les escrocs créent des boutiques en ligne totalement fausses mais crédibles, ou des copies de marchés en ligne légitimes pour inciter les visiteurs à acheter des produits inexistants ou contrefaits, tels que vêtements, appareils électroniques ou fournitures scolaires.

Les chercheurs d'ESET ont documenté des variantes avancées de cette arnaque, où les cybercriminels proposent des services d'assistance et des robots automatisés. Cela permet aux criminels novices d'escroquer massivement et facilement. Aux escrocs moins expérimenté, la méthode permet de créer de faux sites web entièrement automatisés, des messages frauduleux, des chatbots interactifs avec traduction instantanée, et bien d’autres.

Arnaques aux acomptes – Vous avez droit à des prestations, mais nous avons besoin d’un petit acompte !

Les escroqueries aux acomptes impliquent que les fraudeurs décrivent et promettent un avantage –une bourse, une remise de prêt étudiant ou des bons de rentrée scolaire – en échange du paiement d’un acompte. En réalité il n’y a pas d’avantages et les fraudeurs disparaissent une fois l’acompte payé.

Rester en sécurité

La rentrée scolaire est une période propice aux arnaqueurs. Soyez vigilants ; lisez attentivement les messages similaires aux exemples ci-dessus et vérifiez l'adresse e-mail de l'expéditeur, le contenu du message, les liens joints, etc. Ne prenez pas de décisions précipitées.

Les arnaques sont toujours plus sophistiquées et les utilisateurs de smartphones plus vulnérables. Elèves et parents ne doivent pas se fier uniquement à leur capacité à détecter une tentative d'arnaque. Il est essentiel de disposer d'une protection fiable pour leur smartphone, basée sur une approche préventive.

ESET Mobile Security pour Android protège contre un vaste éventail de menaces mobiles, dont les logiciels malveillants, les liens d'hameçonnage et le vol physique. Il contient :

L’Antivirus Android avec analyse 24/7 – Les utilisateurs sont protégés contre l'installation d'applis malveillantes et autres maliciels. L'antivirus peut aussi vérifier tous les fichiers et dossiers de l'appareil accessibles via les connexions ‘USB on the Go’.

L’Anti-Phishing –Protège contre les sites web malveillants qui tentent d'obtenir des informations sensibles – noms d'utilisateur, mots de passe, informations bancaires ou informations de carte de crédit sur la plupart des navigateurs Android courants. De plus, ESET Link Scanner peut reconnaître les liens d'hameçonnage provenant d'applis, comme les messages de jeux.

Protection des paiements – Cette fonctionnalité ajoute une couche de sécurité supplémentaire à des applis comme Google Pay ou des applis bancaires mobiles. Lorsqu'elle est activée, la protection des paiements empêche les applis malveillantes de lire, de modifier ou de superposer le contenu des applis protégées et contribue à prévenir les tentatives d'hameçonnage et les fuites de données.

L’Antivol – Enregistre toutes les tentatives non autorisées de déverrouillage du téléphone ou de l'écran et les modifications de carte SIM. L'utilisateur est ensuite averti par mail. La fonction Antivol permet aussi de localiser les appareils perdus.

Préparer la rentrée scolaire peut être stressant. La dernière chose que les élèves ou les parents souhaitent est d’être confrontés à des problèmes concernant une arnaque. Achetez vos fournitures scolaires, naviguez sur Internet et communiquez en ligne en toute sécurité avec ESET Mobile Security. Essayez maintenant ESET Mobile Security  à -50 % !

A propos d’ESET

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/.

Catherine d'Adesky 

“Wat online gebeurt, blijft online” en andere mythes … Top 10 misvattingen over cyberpesten door ESET

 21 augustus 2025 - Gegevens van het Cyberbullying Research Center (Data from the Cyberbullying Research Center) laten zien dat 58% van de middelbare scholieren in de VS online te maken had met intimidatie. In 2019 was dat 37% en slechts 24% tien jaar geleden.  Uit afzonderlijke gegevens blijkt dat 43% van de tieners die videogames spelen, ooit gepest is. Sommigen werden uitgescholden, anderen werden fysiek bedreigd.  Velen kregen expliciete seksueel content te zien.

Ouders maken zich terecht zorgen over die trends. Zoals bij veel online fenomenen kunnen die halve waarheden, mythes en misvattingen de realiteit van cyberpesten verdraaien en het nemen van de gepaste opvoedingsbeslissingen in de weg staan. Phil Muncaster van ESET somt ze op:

1.     1.  Wat online gebeurt, blijft online

De technologie maakt het pesten mogelijk, maar pesten heeft zijn wortels diep in de menselijke psyche. Kinderen maken zich schuldig aan pestgedrag wegens heel wat redenen. Sociale media geven hen nu de mogelijkheid om anderen op een meer grondige manier te pesten. Maar soms willen pestkoppen hun slachtoffers ook in het echte leven pesten. Al doen ze het niet, kan de psychologische schade die ze aanrichten toch een impact hebben op hun slachtoffers in de echte wereld.

2.       2.  Kinderen zijn nu eenmaal kinderen 

Pesten afdoen als iets  dat normaal is bij het opgroeien, kan op de lange termijn ernstige gevolgen hebben voor de sociale en emotionele ontwikkeling van de gepesten. Maar cyberpesten is niet iets wat alleen kinderen overkomt. Trolling, doxing, wraakporno en stalking zijn allemaal vormen van cyberpesten die de meesten van ons wel kennen. 40% van de Amerikanen geeft aan online pesterijen te hebben meegemaakt.

3.   3.  Negeer het en het gaat vanzelf over

Het is verkeerd te denken dat het melden van pestgedrag dit alleen maar erger maakt. Soms kan het negeren van pestgedrag de pester juist moed geven en denkt hij dat zijn daden impact hebben. Een meisje schreef op de website van Unicef (this girl wrote on the Unicef website) : alleen door samen actie te ondernemen en de pester rechtstreeks aan te spreken, is er hoop op een oplossing.

4.      4.  Mijn kind vertelt me wel als er iets mis is

Is je kind altijd eerlijk en open tegen je, dan ben je een gelukkige ouder. Kinderen maken verschillende fasen door, waarbij de psychologische en emotionele relatie met hun ouders evolueert. In hun tienerjaren schamen ze zich misschien te veel om te vertellen dat er iets mis is, of voelen ze zich te vernederd. Misschien begrijpen ze de ernst niet van wat er met hen gebeurt. Of ze zijn bang dat je ze straft of hun toestel afneemt. Je kind geruststellen dat je er bent om te steunen, niet om te oordelen of te straffen, is het beste wat je kunt doen om het te helpen zich open te stellen.

5.    5.   Verwijder de technologie en het probleem is opgelost

Cyberpesten is mogelijk door de technologie, maar het verdwijnt niet als je de smartphone van je kind wegneemt. Als het op school gepest wordt, zijn er tal van mogelijkheden om de intimidatie offline voort te zetten. Je kind straffen door zijn of haar toestel af te pakken, zal de pester blij maken, maar het doet niets aan de relatie tussen jou en je kind.

Zie ook https://www.youtube.com/watch?v=RnPJVqMy_00

6.      6.  Het is haast onmogelijk om online-pesters te identificeren

Soms geeft online anonimiteit pesters juist macht, net zoals het cybercriminaliteit mogelijk maakt. De meeste pesters kennen echter hun slachtoffers, of het nu klasgenoten, voormalige vrienden of liefdespartners zijn. Het klopt dat sociale media bepaalde gebruikers kunnen ontmaskeren als bewezen is dat ze de servicevoorwaarden hebben overtreden door middel van intimidatie of pesten.

7.   7.    Makkelijk te herkennen

Cyberpesten gebeurt virtueel. Het laat geen fysieke littekens achter, maar kan slachtoffers mentaal beschadigen. Dat maakt het moeilijk voor ouders, zeker als je het lastig vindt om met je kinderen openlijk over gevoelens te praten. Je moet de waarschuwingssignalen dus beter herkennen. Plotse veranderingen in gedrag, houding of schoolprestaties kunnen een nuttige indicator zijn. Maar het is niet evident. Onderzoeken op vriendelijke wijze kan soms nodig zijn.

8.      8.  Cyberpesters zijn gemene rakkers

Als cyberpesters ontmaskerd worden, kan hun identiteit vaak vrienden en familie schokken. Online kunnen mensen dingen zeggen en doen die ze in het echte leven nooit zouden doen. De meeste pesters werden zelf gepest of mishandeld, hebben een laag zelfbeeld of psychische problemen of ondergaan groepsdruk. Het is gemakkelijk om ze af te schilderen als duivels maar de waarheid is meestal ingewikkelder dan dat.

9.    9. Cyberpesten veroorzaakt een groot aantal zelfmoorden

Volgens officiële Amerikaanse gegevens is 14,9% van de adolescenten slachtoffer geworden van cyberpesten en 13,6% van de adolescenten heeft een serieuze zelfmoordpoging gedaan. Er zijn veel redenen waarom jongeren een einde aan hun leven willen maken, en cyberpesten kan daar al dan niet een van zijn. Hoe dan ook, we moeten alert zijn voor de gevaren die aanhoudende online intimidatie vormt voor de meest kwetsbaren in de samenleving.

1010.   Socialemediaplatformen dragen de schuld

Sociale media platformen worden vaak gedemoniseerd als "enablers" van cyberpesten. Maar wetgevers dwingen hen steeds vaker om hun ecosystemen beter te bewaken. De UK’s Online Safety Act is een van de strengste wetten ter wereld en legt bepaalde online dienstverleners een "zorgplicht" op om het welzijn van hun gebruikers te garanderen. Pesten is niet altijd gemakkelijk te herkennen. Context, nuances, jargon en taalkundige eigenaardigheden kunnen lastig te detecteren zijn door algoritmes. Maar hoe dan ook, het is belangrijk dat ouders met hun kinderen praten over de risico's en valkuilen van sociale media.

“Geen enkele ouder wil dat zijn kind aan cyberpesten blootgesteld wordt. Maar als alternatief het kind van de digitale wereld afschermen, kan meer kwaad dan goed doen. We moeten alert blijven op waarschuwingssignalen, een open dialoog voeren en emotionele (en technische) ondersteuning bieden. We moeten een plan bedenken en het probleem samen, als een team aanpakken,” zegt Phil Muncaster, Security Awareness Specialist bij ESET.