.png)
· ESET Research a découvert deux familles de logiciels espions Android encore non répertoriées, nommées Android/Spy.ProSpy et Android/Spy.ToSpy.
· ProSpy se fait passer pour Signal et ToTok, tandis que
ToSpy ne cible que les utilisateurs de ToTok.
· Les deux familles de maliciels exfiltrent les données des
utilisateurs, dont les documents, les médias, les fichiers, les contacts et les
backups de conversations.
· Des détections confirmées dans les Émirats Arabes Unis (EAU)
et l'utilisation d'applis de phishing et de fausses boutiques d'applis
suggèrent des opérations régionales ciblées avec des mécanismes de diffusion
stratégiques.
MONTREAL, BRATISLAVA, le 2 octobre 2025 — Les chercheurs d'ESET ont découvert deux
campagnes de logiciels espions Android ciblant les utilisateurs d'applis de
communication sécurisées Signal et ToTok. Ces campagnes diffusent des maliciels
via des sites trompeurs et des techniques d'ingénierie sociale et ciblent les
résidents des Émirats Arabes Unis. L'enquête d'ESET a permis de découvrir deux
familles de logiciels espions encore non répertoriées : Android/Spy.ProSpy
se faisant passer pour des mises à jour ou plugins de l'appli Signal et de
l'appli controversée et abandonnée ToTok, et Android/Spy.ToSpy qui se fait
passer pour l'appli ToTok. Les campagnes ToSpy se poursuivent, comme le
suggèrent les serveurs de commande toujours en activité.
«
Aucune des applis avec le logiciel espion n'était disponible dans les boutiques
officielles. Elles nécessitaient une installation manuelle à partir de sites
web tiers se faisant passer pour des services légitimes », explique Lukáš
Štefanko, le chercheur d’ESET qui a fait la découverte. « Un des sites
diffusant la famille de maliciels ToSpy imitait la boutique Samsung Galaxy,
incitant les utilisateurs à télécharger et installer manuellement une version
malveillante de ToTok. Une fois installées, les deux familles de logiciels
persistent et exfiltrent en continu des données et fichiers sensibles des
appareils Android compromis. Les détections confirmées aux EAU et le recours à
l'hameçonnage et à de fausses boutiques d'applis suggèrent des opérations
régionales ciblées avec des mécanismes stratégiques de diffusion. »
ESET Research
a découvert la campagne ProSpy en juin 2025, et pense qu’elle a probablement débuté
en 2024. ProSpy est distribué via trois sites trompeurs se faisant passer pour
les plateformes de communication Signal et ToTok. Ces sites proposent des APK (Android Package Kit) malveillants se faisant
passer pour des améliorations, déguisées en plugin de chiffrement Signal et
ToTok Pro. L'utilisation d'un nom de domaine se terminant par la sous-chaîne
ae.net suggère que la campagne cible les personnes résidant aux EAU car AE est
le code pays des Émirats Arabes Unis.
Lors de l'enquête,
ESET a découvert cinq autres APK malveillants avec le même code source que le
logiciel espion, se positionnant comme une version améliorée de l'appli de
messagerie ToTok sous le nom de ToTok Pro. ToTok, une appli gratuite
controversée de messagerie et d'appel développée aux EAU, a été retirée de
Google Play et de l'App Store d'Apple en décembre 2019 suite à des problèmes de
surveillance. Sa base d'utilisateurs étant principalement située aux EAU, il
est probable que ToTok Pro cible les utilisateurs de cette région, plus intéressés
de télécharger l'appli à partir de sources non officielles dans leur propre
région.
Lors de leur
exécution, les deux appli demandent l'autorisation d'accéder aux contacts, aux
SMS et aux fichiers stockés sur l'appareil. Une fois ces autorisations obtenues,
ProSpy commence à exfiltrer les données en arrière-plan. Le plug-in de
chiffrement Signal extrait les informations de l'appareil, les SMS stockés et
la liste de contacts, et exfiltre d'autres fichiers, tels que les sauvegardes
de conversations, les fichiers audio, vidéo et images.
En juin 2025,
la télémétrie d'ESET a détecté une autre famille de logiciels espions Android, encore
non répertoriée et activement diffusée, provenant d'un appareil situé aux Emirats.
ESET a nommé le maliciel Android/Spy.ToSpy. Une enquête ultérieure a révélé
quatre sites web de distribution trompeurs se faisant passer pour l'appli
ToTok. Compte tenu de la popularité régionale de l'appli et des tactiques
d'usurpation employées par ses auteurs, on peut supposer que les principales
cibles de cette campagne sont des utilisateurs des EAU ou de régions voisines.
A l’arrière-plan, le logiciel espion peut collecter et exfiltrer les données
suivantes : contacts des utilisateurs, fichiers d'informations sur
l'appareil (sauvegardes de conversations, images, documents, fichiers audio et
vidéo, etc.). Dès lors, ESET suggèrent que la campagne ToSpy a probablement
débuté mi-2022.
Et Štefanko
de conseiller: « Les utilisateurs doivent rester vigilants lorsqu'ils
téléchargent des applis à partir de sources non officielles et éviter d'activer
l'installation à partir d'origines inconnues. Cela vaut aussi lorsqu'ils
installent des applis ou des modules complémentaires en dehors des boutiques
d'applis officielles qui prétendent améliorer les services de confiance ».
Pour une
analyse plus détaillée et technique d'Android/Spy.ProSpy et
d'Android/Spy.ToSpy, consultez le dernier article du blog d'ESET Research “ New spyware campaigns target privacy-conscious Android
users in the UAE” sur www.WeLiveSecurity.com.
Suivez ESET
Research sur Twitter (aujourd'hui X), Bluesky et Mastodon pour rester informé(e) de ses dernières
actualités.
A propos d’ESET
ESET® propose
une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se
produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET
anticipe les cybermenaces mondiales émergentes, connues et inconnues,
sécurisant les entreprises, les infrastructures critiques et les particuliers.
Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses
solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une
utilisation faciles. La technologie ESET comprend une détection et une réponse
robustes, un chiffrement ultra-sécurisé et une authentification multifacteur.
Grâce à une défense en temps réel 24/7 et à un support local performant, ESET
assure la sécurité des utilisateurs et la continuité des activités des
entreprises. L'évolution constante du paysage numérique exige une approche
progressive de la sécurité. ESET est engagé dans une recherche de pointe et une
veille stratégique sur les menaces, avec le soutien de ses centres de R&D
et un solide réseau de partenaires au niveau mondial. Pour plus d'informations,
rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.
INFO PRESSE
Catherine d'Adesky catherine@keycommunications.be