Advertencia: Spyware para Android disfrazado de Signal y ToTok Pro apunta a usuarios en Emiratos Árabes Unidos

Los investigadores de la empresa eslovaca de ciberseguridad ESET han descubierto dos campañas de software espía para Android, bautizadas como ProSpy y ToSpy, que se hacen pasar por aplicaciones populares de mensajería cifrada como Signal y ToTok. El hallazgo pone de relieve los riesgos de descargar aplicaciones fuera de las tiendas oficiales y el uso cada vez más sofisticado de la ingeniería social para engañar a los usuarios. ¿Qué está pasando? ProSpy y ToSpy se distribuyen mediante sitios web falsos que imitan servicios legítimos, incluyendo una copia de la tienda Samsung Galaxy Store. Una vez instaladas en un dispositivo Android, las aplicaciones maliciosas extraen datos confidenciales como contactos, mensajes SMS, archivos, listas de aplicaciones instaladas e incluso copias de seguridad de chats. Ninguna de estas aplicaciones estuvo disponible en Google Play o en App Store. En todos los casos, los usuarios debían instalar manualmente archivos APK descargados desde páginas de terceros. ¿Cómo engañan al usuario? Los desarrolladores detrás de estas campañas crearon mecanismos para reforzar la ilusión de legitimidad: ToTok Pro (ToSpy): Presenta un botón “CONTINUAR” que redirige al usuario al sitio oficial de ToTok para descargar la aplicación real. El spyware se ejecuta antes de esa redirección, lo que permite al atacante robar datos de inmediato. Si el usuario ya tiene ToTok en el teléfono, la app maliciosa simula buscar actualizaciones y luego abre la aplicación oficial, ocultando su presencia. Signal Encryption Plugin (ProSpy): Muestra un botón “HABILITAR” que redirige al sitio oficial de Signal (signal[.]org). Para camuflarse mejor, cambia su ícono para hacerse pasar por Google Play Services, lo que dificulta al usuario identificarlo como un intruso. Contexto: el caso ToTok El uso de ToTok como señuelo no es casualidad. En diciembre de 2019, esta aplicación fue retirada de Google Play y App Store tras acusaciones de servir como una herramienta de espionaje del gobierno de Emiratos Árabes Unidos, recopilando conversaciones y ubicaciones de los usuarios. Aunque sus desarrolladores lo negaron, la reputación de ToTok quedó marcada, y hoy es usada como gancho para nuevas campañas de malware. Técnicas de persistencia Tanto ProSpy como ToSpy están diseñados para mantenerse activos en el dispositivo, incluso si el usuario intenta cerrarlos: Ejecutan un servicio en primer plano con notificaciones persistentes. Usan AlarmManager de Android para reiniciarse en caso de ser terminados. Se ejecutan automáticamente cada vez que se reinicia el dispositivo. De esta forma, los atacantes garantizan un acceso constante y difícil de eliminar. Riesgos principales Según ESET, estas campañas tienen como objetivo usuarios de Emiratos Árabes Unidos, pero podrían expandirse a otras regiones. Los datos robados incluyen: Contactos y mensajes SMS. Archivos con extensiones específicas. Copias de seguridad de ToTok (*.ttkmbackup). Información detallada del dispositivo Android. En manos de un atacante, esta información puede usarse para espionaje, chantaje o fraudes financieros. ¿Cómo protegerse? Las recomendaciones son claras: No descargar aplicaciones desde fuentes no oficiales. Siempre usar Google Play o App Store. Evitar activar la opción “instalar desde orígenes desconocidos” en Android. Verificar los permisos solicitados por las aplicaciones. Si una app de mensajería pide acceso excesivo (ej. al almacenamiento completo o servicios del sistema), es una alerta. Mantener actualizado el sistema operativo y las aplicaciones legítimas. Desconfiar de “complementos” o versiones “mejoradas” de apps de confianza, como el falso “Signal Encryption Plugin”. Conclusión El caso de ProSpy y ToSpy es un recordatorio de cómo los atacantes usan nombres y marcas reconocidas para ganar la confianza de los usuarios. Aunque la técnica no es nueva, el nivel de detalle con el que estos spyware simulan legitimidad representa una amenaza significativa, especialmente en regiones con historial de vigilancia digital. La regla de oro: siempre descargar aplicaciones desde tiendas oficiales y desconfiar de cualquier enlace o actualización que provenga de fuentes externas.