Se connecter
Inscription
Mot de passe perdu
ESET Research : un nouveau logiciel espion se fait passer pour des applis de messagerie ciblant les Émirats Arabes Unis
Publié le 02/10/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
MONTREAL, BRATISLAVA, le 2 octobre 2025 — Les chercheurs d'ESET ont découvert deux campagnes de logiciels espions Android ciblant les utilisateurs d'applis de communication sécurisées Signal et ToTok. Ces campagnes diffusent des maliciels via des sites trompeurs et des techniques d'ingénierie sociale et ciblent les résidents des Émirats Arabes Unis. L'enquête d'ESET a permis de découvrir deux familles de logiciels espions encore non répertoriées : Android/Spy.ProSpy se faisant passer pour des mises à jour ou plugins de l'appli Signal et de l'appli controversée et abandonnée ToTok, et Android/Spy.ToSpy qui se fait passer pour l'appli ToTok. Les campagnes ToSpy se poursuivent, comme le suggèrent les serveurs de commande toujours en activité.
« Aucune des applis avec le logiciel espion n'était disponible dans les boutiques officielles. Elles nécessitaient une installation manuelle à partir de sites web tiers se faisant passer pour des services légitimes », explique Lukáš Štefanko, le chercheur d’ESET qui a fait la découverte. « Un des sites diffusant la famille de maliciels ToSpy imitait la boutique Samsung Galaxy, incitant les utilisateurs à télécharger et installer manuellement une version malveillante de ToTok. Une fois installées, les deux familles de logiciels persistent et exfiltrent en continu des données et fichiers sensibles des appareils Android compromis. Les détections confirmées aux EAU et le recours à l'hameçonnage et à de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes stratégiques de diffusion. »
ESET Research a découvert la campagne ProSpy en juin 2025, et pense qu’elle a probablement débuté en 2024. ProSpy est distribué via trois sites trompeurs se faisant passer pour les plateformes de communication Signal et ToTok. Ces sites proposent des APK (Android Package Kit) malveillants se faisant passer pour des améliorations, déguisées en plugin de chiffrement Signal et ToTok Pro. L'utilisation d'un nom de domaine se terminant par la sous-chaîne ae.net suggère que la campagne cible les personnes résidant aux EAU car AE est le code pays des Émirats Arabes Unis.
Lors de l'enquête, ESET a découvert cinq autres APK malveillants avec le même code source que le logiciel espion, se positionnant comme une version améliorée de l'appli de messagerie ToTok sous le nom de ToTok Pro. ToTok, une appli gratuite controversée de messagerie et d'appel développée aux EAU, a été retirée de Google Play et de l'App Store d'Apple en décembre 2019 suite à des problèmes de surveillance. Sa base d'utilisateurs étant principalement située aux EAU, il est probable que ToTok Pro cible les utilisateurs de cette région, plus intéressés de télécharger l'appli à partir de sources non officielles dans leur propre région.
Lors de leur exécution, les deux appli demandent l'autorisation d'accéder aux contacts, aux SMS et aux fichiers stockés sur l'appareil. Une fois ces autorisations obtenues, ProSpy commence à exfiltrer les données en arrière-plan. Le plug-in de chiffrement Signal extrait les informations de l'appareil, les SMS stockés et la liste de contacts, et exfiltre d'autres fichiers, tels que les sauvegardes de conversations, les fichiers audio, vidéo et images.
En juin 2025, la télémétrie d'ESET a détecté une autre famille de logiciels espions Android, encore non répertoriée et activement diffusée, provenant d'un appareil situé aux Emirats. ESET a nommé le maliciel Android/Spy.ToSpy. Une enquête ultérieure a révélé quatre sites web de distribution trompeurs se faisant passer pour l'appli ToTok. Compte tenu de la popularité régionale de l'appli et des tactiques d'usurpation employées par ses auteurs, on peut supposer que les principales cibles de cette campagne sont des utilisateurs des EAU ou de régions voisines. A l’arrière-plan, le logiciel espion peut collecter et exfiltrer les données suivantes : contacts des utilisateurs, fichiers d'informations sur l'appareil (sauvegardes de conversations, images, documents, fichiers audio et vidéo, etc.). Dès lors, ESET suggèrent que la campagne ToSpy a probablement débuté mi-2022.
Et Štefanko de conseiller: « Les utilisateurs doivent rester vigilants lorsqu'ils téléchargent des applis à partir de sources non officielles et éviter d'activer l'installation à partir d'origines inconnues. Cela vaut aussi lorsqu'ils installent des applis ou des modules complémentaires en dehors des boutiques d'applis officielles qui prétendent améliorer les services de confiance ».
Pour une analyse plus détaillée et technique d'Android/Spy.ProSpy et d'Android/Spy.ToSpy, consultez le dernier article du blog d'ESET Research “ New spyware campaigns target privacy-conscious Android users in the UAE” sur www.WeLiveSecurity.com.
Suivez ESET Research sur Twitter (aujourd'hui X), Bluesky et Mastodon pour rester informé(e) de ses dernières actualités.
« Aucune des applis avec le logiciel espion n'était disponible dans les boutiques officielles. Elles nécessitaient une installation manuelle à partir de sites web tiers se faisant passer pour des services légitimes », explique Lukáš Štefanko, le chercheur d’ESET qui a fait la découverte. « Un des sites diffusant la famille de maliciels ToSpy imitait la boutique Samsung Galaxy, incitant les utilisateurs à télécharger et installer manuellement une version malveillante de ToTok. Une fois installées, les deux familles de logiciels persistent et exfiltrent en continu des données et fichiers sensibles des appareils Android compromis. Les détections confirmées aux EAU et le recours à l'hameçonnage et à de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes stratégiques de diffusion. »
ESET Research a découvert la campagne ProSpy en juin 2025, et pense qu’elle a probablement débuté en 2024. ProSpy est distribué via trois sites trompeurs se faisant passer pour les plateformes de communication Signal et ToTok. Ces sites proposent des APK (Android Package Kit) malveillants se faisant passer pour des améliorations, déguisées en plugin de chiffrement Signal et ToTok Pro. L'utilisation d'un nom de domaine se terminant par la sous-chaîne ae.net suggère que la campagne cible les personnes résidant aux EAU car AE est le code pays des Émirats Arabes Unis.
Lors de l'enquête, ESET a découvert cinq autres APK malveillants avec le même code source que le logiciel espion, se positionnant comme une version améliorée de l'appli de messagerie ToTok sous le nom de ToTok Pro. ToTok, une appli gratuite controversée de messagerie et d'appel développée aux EAU, a été retirée de Google Play et de l'App Store d'Apple en décembre 2019 suite à des problèmes de surveillance. Sa base d'utilisateurs étant principalement située aux EAU, il est probable que ToTok Pro cible les utilisateurs de cette région, plus intéressés de télécharger l'appli à partir de sources non officielles dans leur propre région.
Lors de leur exécution, les deux appli demandent l'autorisation d'accéder aux contacts, aux SMS et aux fichiers stockés sur l'appareil. Une fois ces autorisations obtenues, ProSpy commence à exfiltrer les données en arrière-plan. Le plug-in de chiffrement Signal extrait les informations de l'appareil, les SMS stockés et la liste de contacts, et exfiltre d'autres fichiers, tels que les sauvegardes de conversations, les fichiers audio, vidéo et images.
En juin 2025, la télémétrie d'ESET a détecté une autre famille de logiciels espions Android, encore non répertoriée et activement diffusée, provenant d'un appareil situé aux Emirats. ESET a nommé le maliciel Android/Spy.ToSpy. Une enquête ultérieure a révélé quatre sites web de distribution trompeurs se faisant passer pour l'appli ToTok. Compte tenu de la popularité régionale de l'appli et des tactiques d'usurpation employées par ses auteurs, on peut supposer que les principales cibles de cette campagne sont des utilisateurs des EAU ou de régions voisines. A l’arrière-plan, le logiciel espion peut collecter et exfiltrer les données suivantes : contacts des utilisateurs, fichiers d'informations sur l'appareil (sauvegardes de conversations, images, documents, fichiers audio et vidéo, etc.). Dès lors, ESET suggèrent que la campagne ToSpy a probablement débuté mi-2022.
Et Štefanko de conseiller: « Les utilisateurs doivent rester vigilants lorsqu'ils téléchargent des applis à partir de sources non officielles et éviter d'activer l'installation à partir d'origines inconnues. Cela vaut aussi lorsqu'ils installent des applis ou des modules complémentaires en dehors des boutiques d'applis officielles qui prétendent améliorer les services de confiance ».
Pour une analyse plus détaillée et technique d'Android/Spy.ProSpy et d'Android/Spy.ToSpy, consultez le dernier article du blog d'ESET Research “ New spyware campaigns target privacy-conscious Android users in the UAE” sur www.WeLiveSecurity.com.
Suivez ESET Research sur Twitter (aujourd'hui X), Bluesky et Mastodon pour rester informé(e) de ses dernières actualités.
Liens associés
31/10/2025 @ 08:05:14
Poster un commentaire
Consoles
Jeux Vidéos
Programmation
Intel
Apple
