ProSpyスパイウェア

サイバーセキュリティ研究者らは、「ProSpy」と呼ばれる高度なAndroidスパイウェア攻撃キャンペーンを発見しました。このキャンペーンは、SignalやToTokといった人気メッセージングアプリを偽装し、特にアラブ首長国連邦（UAE）のユーザーを標的としています。このキャンペーンは、ユーザーを欺き、公式アプリストアを迂回して悪意のあるソフトウェアをインストールさせるという欺瞞的な手法を用いています。

ProSpyの拡散方法

ProSpyマルウェアは、偽のウェブサイトやソーシャルエンジニアリングの手法を通じて拡散され、ユーザーに侵害されたAPKファイルを手動でダウンロード・インストールするよう促します。これらのアプリは正規のアプリストアでは入手できないため、サードパーティのソースから手動でインストールする必要があります。

2025年6月に初めて確認され、2024年から活動していたとみられるこのキャンペーンは、SignalやToTokを装ったウェブサイトを利用して、不正なAPKファイルを販売しています。これらのファイルは、Signal Encryption PluginやToTok Proといった名称で、アップグレード版と誤解を招くように提示されています。

歴史的背景：ToTokが標的となった理由

ToTokを餌として利用する戦略は特に戦略的です。ToTokは、ユーザーの会話、位置情報、その他の個人情報を収集し、UAE政府の監視ツールとして機能していたという疑惑を受け、2019年12月にGoogle PlayとApple App Storeから削除されました。

ToTokの開発者はこれらの主張を一貫して否定し、アプリの削除は市場操作であり、ソフトウェアはユーザーをスパイするものではないと主張している。

悪意のあるアプリの機能

ProSpy アプリは、以下のアクセスを含む広範なデバイス権限を要求するように設計されています。

• 連絡先
• SMSメッセージ
• デバイスに保存されているファイル

このスパイウェアは、デバイス情報、チャットのバックアップ、インストール済みアプリケーションのリストなどの機密データを盗み出すことができます。また、研究者らは、この地域で同時期に別のAndroidスパイウェアファミリーが活動していることにも注目しており、組織的な標的型攻撃が行われている可能性を示唆しています。

悪意のある行為を隠すための欺瞞的なリダイレクト

このキャンペーンには、アプリの正当性を強化する巧妙なリダイレクト戦術が含まれています。

ToTokプロ

シグナル暗号化プラグイン

• このアプリには、ユーザーを公式の Signal ウェブサイトに誘導する「有効にする」ボタンが含まれています。
• 不正なアプリのアイコンは、権限が付与された後、Google Play 開発者サービスに偽装され、その存在がさらに隠蔽されます。
• アプリに関係なく、ユーザーがリダイレクト ボタンを操作する前にデータの流出が静かに発生し、連絡先、メッセージ、ファイル、その他の機密情報が危険にさらされます。

地域への影響と安全保障への影響

ProSpy キャンペーンは、非公式のソースからアプリを手動でインストールするリスクと、UAE のユーザーを標的とした継続的な脅威を浮き彫りにしています。このようなキャンペーンは、サイバー犯罪者が歴史的な論争と人気アプリへの信頼の両方を利用してデバイスに侵入し、データを盗む方法を示しています。