- ESET Research a identifié deux nouvelles familles de spywares Android, baptisées Android/Spy.ProSpy et Android/Spy.ToSpy.
- ProSpy imite les applications Signal et ToTok, tandis que ToSpy cible uniquement ToTok.
- Ces malwares visent à exfiltrer des données sensibles : documents, médias, contacts, fichiers et sauvegardes de conversations.
- La concentration des détections aux Émirats arabes unis et l’usage de faux stores indiquent une campagne stratégiquement ciblée sur cette région
La-Femme (ESET Research) – Les chercheurs d’ESET ont mis au jour deux opérations malveillantes visant des individus intéressés par des applications de messagerie sécurisée, notamment Signal et ToTok. Ces opérations malveillantes s’appuient sur des sites frauduleux et des techniques d’ingénierie sociale sophistiquées, avec une orientation manifeste vers les résidents des Émirats arabes unis. La recherche a permis d’identifier deux nouvelles familles de malwares jusqu’alors inconnues : Android/Spy.ProSpy, qui se présente comme des extensions ou mises à jour pour Signal et ToTok (application controversée et aujourd’hui abandonnée), et Android/Spy.ToSpy, qui imite l’application ToTok elle-même. Les serveurs de commande et de contrôle (C&C) encore actifs indiquent que la campagne ToSpy est toujours en cours.
« Aucune des applications infectées n’était disponible sur les stores officiels. Leur installation nécessitait un téléchargement manuel via des sites tiers déguisés en services légitimes », explique Lukáš Štefanko, chercheur chez ESET, qui a fait la découverte. « L’un des vecteurs de distribution de ToSpy reproduit notamment l’interface du Samsung Galaxy Store, incitant les victimes à télécharger et installer manuellement une version vérolée de ToTok. Une fois en place, les malwares restent actifs et siphonnent en continu les données sensibles des appareils Android compromis. La concentration des détections aux Émirats arabes unis, combinée à l’utilisation de campagnes d’hameçonnage et de faux stores, révèle une opération ciblée géographiquement avec des mécanismes de diffusion hautement stratégiques. »
La campagne ProSpy a été détectée en juin 2025, mais pourrait être active depuis 2024. ProSpy se propage via trois sites malveillants conçus pour imiter les plateformes Signal et ToTok. Ces domaines proposent des APK malicieux présentés comme des améliorations fonctionnelles : le « Signal Encryption Plugin » et « ToTok Pro ». L’utilisation d’un nom de domaine se terminant par « ae.net » constitue un indicateur supplémentaire du ciblage géographique, « AE » étant le code pays ISO des Émirats arabes unis.
Au fil de l’enquête, ESET a découvert cinq APK malveillants additionnels partageant la même architecture de code espion, tous se faisant passer pour une version améliorée de ToTok baptisée « ToTok Pro ». La base d’utilisateurs de ToTok étant principalement localisée aux Émirats arabes unis, il est probable que cette variante cible spécifiquement les utilisateurs de cette région, potentiellement plus enclins à télécharger l’application depuis des sources alternatives locales.
Une fois installées, les deux applications malveillantes demandent des autorisations d’accès aux contacts, SMS et fichiers stockés. Si l’utilisateur les accorde, ProSpy initie l’exfiltration de données en arrière-plan. Le module « Signal Encryption Plugin » collecte les informations de l’appareil, les SMS, les contacts, ainsi que divers fichiers comme les sauvegardes de conversations, les contenus audio, vidéo et les images.
En juin 2025, les systèmes de télémétrie d’ESET ont également détecté une autre famille de logiciels espions Android, baptisée Android/Spy.ToSpy, active sur un appareil situé aux Émirats arabes unis. L’enquête a révélé quatre sites de distribution frauduleux se faisant passer pour ToTok. En arrière-plan, le malware collecte et exfiltre des données telles que les contacts, les informations système, les sauvegardes de chat, les documents, les images, les fichiers audio et vidéo. Les analyses d’ESET suggèrent que la campagne ToSpy a débuté à la mi-2022.
« Les utilisateurs doivent faire preuve de prudence lorsqu’ils téléchargent des applications en dehors des stores officiels. Il est essentiel de désactiver l’installation d’applications provenant de sources inconnues et de se méfier des modules complémentaires prétendant améliorer des services réputés », recommande Štefanko.
Pour une analyse technique approfondie des malwares Android/Spy.ProSpy et Android/Spy.ToSpy, consultez le dernier article de blog d’ESET Research, « De nouvelles campagnes de logiciels espions ciblent les utilisateurs Android soucieux de la confidentialité aux Émirats arabes unis » sur WeLiveSecurity.com.
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
