Los investigadores de ESET han descubierto dos campañas de spyware para Android dirigidas a personas interesadas en aplicaciones de comunicación seguras, concretamente Signal y ToTok. Estas campañas distribuyen malware a través de sitios web engañosos e ingeniería social y parecen estar dirigidas a residentes de los Emiratos Árabes Unidos (EAU).

Nuestra investigación condujo al descubrimiento de dos familias de programas espía no documentadas anteriormente: Android/Spy.ProSpy, que se hace pasar por actualizaciones o complementos de las aplicaciones de mensajería Signal y ToTok; y Android/Spy.ToSpy, que se hace pasar por la aplicación ToTok.

Ninguna de las aplicaciones que contenían el programa espía estaba disponible en las tiendas de aplicaciones oficiales; ambas requerían instalación manual desde sitios web de terceros que se hacían pasar por servicios legítimos. En particular, uno de los sitios web que distribuía la familia de programas maliciosos ToSpy imitaba la tienda Samsung Galaxy Store, lo que inducía a los usuarios a descargar e instalar manualmente una versión maliciosa de la aplicación ToTok.

Una vez instaladas, ambas familias de spyware persisten y extraen continuamente datos y archivos confidenciales de los dispositivos Android afectados. Curiosamente, hemos visto que ToSpy, entre otros tipos de archivos, tiene como objetivo la extensión de archivo .ttkmbackup, utilizada para almacenar las copias de seguridad de los datos de ToTok. Esto sugiere un interés en la extracción del historial de chat o datos de aplicaciones. Las campañas de ToSpy están en curso, como sugieren los servidores de C&C que permanecen activos en el momento de la publicación.

Como socios de App Defense Alliance, compartimos nuestros hallazgos con Google. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este spyware mediante Google Play Protect, que está activado por defecto en los dispositivos Android con Google Play Services.

Puntos clave de este blogpost:
  • Hemos descubierto dos familias de spyware para Android no documentadas hasta ahora: Android/Spy.ProSpy y Android/Spy.ToSpy.
  • ProSpy suplanta tanto a Signal como a ToTok, mientras que ToSpy se dirige exclusivamente a los usuarios de ToTok.
  • Ambas familias de malware pretenden filtrar datos de los usuarios, incluidos documentos, archivos multimedia, archivos, contactos y copias de seguridad de chats.
  • Las detecciones confirmadas en los EAU y el uso de phishing y tiendas de aplicaciones falsas sugieren operaciones centradas en la región con mecanismos de distribución estratégicos.

Campaña ProSpy

Descubrimos la campaña ProSpy en junio de 2025, pero creemos que lleva en marcha desde 2024.

Hemos visto que ProSpy se distribuye a través de tres sitios web engañosos diseñados para hacerse pasar por las plataformas de comunicación Signal y ToTok. Estos sitios ofrecen APKs maliciosos que se hacen pasar por mejoras, disfrazados de Signal Encryption Plugin y ToTok Pro.

Vectores de distribución iniciales

Plugin de cifrado de Signal

En junio de 2025, identificamos dos muestras de spyware para Android que afirmaban ser la aplicación (inexistente, legítima) Signal Encryption Plugin. El plugin se distribuyó a través de phishing utilizando dos sitios web dedicados(https://signal.ct[.]ws y https://encryption-plug-in-signal.com-ae[.]net/), ver Figura 1, y sólo estaba disponible en forma de aplicación para Android que requería que los usuarios habilitaran la instalación manual desde fuentes desconocidas.

Figure 1. Website distributing distributing fake Signal Encryption Plugin app
Figura 1. Sitio web que distribuye la falsa aplicación Signal Encryption Plugin

Aunque las muestras se distribuían utilizando dominios distintos, compartían un código malicioso idéntico. El uso de un nombre de dominio que termina en la subcadena ae.net puede sugerir que la campaña se dirige a personas residentes en los Emiratos Árabes Unidos, ya que AE es el código de país de dos letras de los EAU.

ToTok Pro

Ampliando nuestra investigación, descubrimos otros cinco APK maliciosos que utilizan la misma base de código de spyware, haciéndose pasar por una versión mejorada de la aplicación de mensajería ToTok bajo el nombre de ToTok Pro. Una de las muestras que descubrimos al principio se distribuía a través de un sitio web falso, desde la URL https://totok-pro[.]io/totok_pro_release_v2_8_8_10330.apk. Los vectores de distribución de las cuatro muestras restantes siguen siendo desconocidos.

Figure 2. Distribution website for fake ToTok app
Figura 2. Sitio web de distribución de la falsa aplicación ToTok

ToTok, una app gratuita de mensajería y llamadas desarrollada en los Emiratos Árabes Unidos, fue retirada de Google Play y de la App Store de Apple en diciembre de 2019 debido a problemas de espionaje. Dado que su base de usuarios se encuentra principalmente en los EAU, especulamos que ToTok Pro puede estar dirigiéndose a usuarios de esta región, que pueden ser más propensos a descargar la app de fuentes no oficiales.

Flujo de ejecución

Figure 3. ProSpy execution flow
Figura 3. Flujo de ejecución de ProSpy

Una vez ejecutadas, ambas aplicaciones maliciosas solicitan permisos para acceder a los contactos, mensajes SMS y archivos almacenados en el dispositivo. Si se conceden estos permisos, ProSpy comienza a filtrar datos en segundo plano. Los pasos que describimos a continuación se realizan para que las aplicaciones parezcan legítimas y evitar que la víctima las desinstale.

El spyware ToTok Pro

En el caso del vector de distribución ToTok Pro, una vez que se conceden los permisos, la aplicación muestra una pantalla de bienvenida a ToTok Pro que imita fielmente el proceso de inicio de la aplicación ToTok legítima; véase la Figura 4.

Figure 4. ToTok Pro welcome screen
Figura 4. Pantalla de bienvenida a ToTok Pro

Esta pantalla muestra un botón CONTINUE que, cuando se pulsa, abre la página de descarga oficial de ToTok en el navegador, sugiriendo que el usuario descargue e instale la aplicación oficial de ToTok. Esta redirección está diseñada para reforzar la ilusión de legitimidad. Cualquier lanzamiento futuro de la aplicación maliciosa ToTok Pro abrirá en su lugar la aplicación ToTok real, enmascarando eficazmente la presencia del spyware. Sin embargo, el usuario seguirá viendo dos aplicaciones instaladas en el dispositivo (ToTok y ToTok Pro, como se muestra en la Figura 5), lo que podría ser sospechoso.

Figure 5. ToTok and ToTok Pro app icons
Figura 5. Iconos de las aplicaciones ToTok y ToTok Pro

Programa espía Signal Encryption Plugin

Cuando se inicia la aplicación Signal Encryption Plugin, la aplicación muestra un botón HABILITAR para continuar. Al pulsar el botón, se inicia la aplicación Signal legítima. Si la aplicación no está instalada, envía una solicitud para abrir un enlace legítimo de signal.org en el navegador; véase la figura 6. Desde allí, los usuarios pueden descargar e instalar el software espía Signal Encryption Plugin. Desde allí, los usuarios pueden descargar e instalar la aplicación Signal.

Figure 6. Malicious Signal Encryption Plugin redirecting the user to the legitimate signal.org link
Figura 6. Plugin malicioso de cifrado de Signal redirigiendo al usuario al enlace legítimo signal.org

Al contrario que ToTok Pro, una vez que se ejecuta Signal Encryption Plugin y se habilitan todos los permisos solicitados, el icono y el nombre de su aplicación en la pantalla de inicio del dispositivo cambian a Play Services; véase la figura 7. Esto se consigue utilizando un alias de actividad definido en AndroidManifest.xml que actúa como punto de entrada alternativo para una actividad existente. En lugar de crear una nueva actividad, un desarrollador puede crear un alias con su propio icono y etiqueta (la etiqueta que se muestra en la pantalla de inicio). La clave para cambiar la apariencia de la aplicación es que una aplicación puede tener varios alias definidos en su manifiesto, pero sólo uno puede ser el lanzador activo a la vez. Activando mediante programación un nuevo alias y desactivando el antiguo, la aplicación puede cambiar su icono y nombre en la pantalla de inicio sin necesidad de reinstalarla o actualizarla.

Figure 7. Signal Encryption Plugin before launch (left) and after the initial setup (right)
Figura 7. Signal Encryption Plugin antes del lanzamiento (izquierda) y después de la configuración inicial (derecha)

Una vez que el usuario toca el icono de Play Services, se abre la pantalla de información de una aplicación legítima de Google Play Services; véase la figura 8.

Figure 8. App info screen of a legitimate Google Play services app
Figura 8. Pantalla de información de una aplicación legítima de Google Play Services

Antes de que el usuario haga clic en CONTINUE (ToTok Pro) o ENABLE (Signal Encryption Plugin), el malware extrae silenciosamente los siguientes datos:

  • Información del dispositivo: Extrae detalles del hardware, el sistema operativo y la dirección IP pública recuperada a través de una solicitud a ip-api.com/json.
  • Mensajes SMS almacenados: Recoge todos los mensajes SMS accesibles, véase la Figura 9.
  • Lista de contactos: Recoge nombres, números de teléfono y otros metadatos de contacto.
  • Recolección de archivos: Busca y exfiltra archivos y los clasifica en función de los tipos MIME, incluyendo:

Audio: audio/*, aplicación/ogg.

Documentos: application/pdf, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/vnd.openxmlformats-officedocument.*, application/javascript, text/*.

Archivos: application/zip, application/x-rar-compressed, application/x-7z-compressed, application/java-archive, application/vnd.android.package-archive, y otros.

Imágenes: image/*.

Vídeos: video/*.

Otros: Cualquier archivo que no coincida con las categorías anteriores.

  • Aplicaciones instaladas: Lista de todas las aplicaciones instaladas.
Figure 9. Decompiled code responsible for SMS collection
Figura 9. Código descompilado responsable de la recogida de SMS

Algunos de los datos recopilados se almacenan primero localmente en el almacenamiento interno de la aplicación en los archivos de texto contacts_list.json, device_info.json y sms_list.json, y luego se filtran al servidor de C&C, como se puede ver en la Figura 10.

Figure 10. Data exfiltration to C&C server
Figura 10. Exfiltración de datos al servidor C&C

Campaña ToSpy

Más tarde, en junio de 2025, nuestros sistemas de telemetría detectaron otra familia de spyware para Android no documentada previamente que se distribuía activamente en la naturaleza, procedente de un dispositivo ubicado en los Emiratos Árabes Unidos. Etiquetamos el malware como Android/Spy.ToSpy. Nuestra investigación reveló cuatro sitios web de distribución engañosos que se hacían pasar por la aplicación ToTok. Basándonos en el icono de ToSpy, parece que puede haber sido presentado a los usuarios como una versión Pro de la aplicación ToTok; ver Figura 11.

Figure 11. Official (left) and malicious (right) ToTok app icons
Figura 11. Iconos oficiales (izquierda) y maliciosos (derecha) de la aplicación ToTok

Encontramos seis muestras que compartían la misma base de código malicioso, suplantando a la aplicación ToTok y utilizando el mismo certificado de desarrollador(DE90F6899EEC315F4ED05C2AA052D4FE8B71125A), lo que significa que fueron desarrolladas por un mismo actor de amenazas.

Varios indicadores de fecha y hora nos ayudaron a rastrear los orígenes de esta campaña:

  • El certificado de desarrollador se creó el 24 de mayo de 2022.
  • Uno de los primeros dominios de distribución y C&C se registró el 18 de mayo de 2022.
  • Algunas muestras se subieron a VirusTotal el 30 de junio de 2022.

Estos hallazgos sugieren que la campaña ToSpy probablemente comenzó a mediados de 2022. En el momento del análisis, dos de los sitios web de distribución estaban operativos. Varios servidores de C&C siguen activos, lo que indica que la campaña continúa.

También identificamos cinco muestras relacionadas subidas a VirusTotal. Aunque estas muestras no confirman un compromiso activo, sí sugieren interés o actividad de prueba - potencialmente procedente de usuarios, proveedores de seguridad o los actores de la amenaza.

Tabla 1. Muestras encontradas en VirusTotal Muestras encontradas en VirusTotal

Uploaded Filename Submission
June 30th, 2022 v1_8_6_405_totok.apk United Arab Emirates
August 2nd, 2022 v1_8_7_408_totok.apk United Arab Emirates
November 28th, 2022 totok_v1.8.7.408.apk Netherlands
January 30th, 2024 N/A N/A
March 11th, 2025 totok_Version_1_9_5_433.apk United Arab Emirates
May 8th, 2025 totok_V1.9.8.443.apk United States

Dada la popularidad regional de la aplicación y las tácticas de suplantación de identidad utilizadas por los actores de la amenaza, es razonable especular que los principales objetivos de esta campaña de spyware son los usuarios de los EAU o regiones circundantes.

Vector de distribución inicial

Como vector de distribución inicial, la campaña utiliza sitios web de phishing diseñados para hacerse pasar por plataformas legítimas de distribución de aplicaciones. Identificamos sitios web de distribución para cinco de las seis muestras, dos de los cuales seguían activos durante nuestra investigación. Uno de estos sitios web activos imitaba la Galaxy Store(https://store.appupdate[.]ai), como se muestra en la Figura 12, presentando la aplicación ToTok como una descarga legítima, lo que aumenta la probabilidad de engaño al usuario. En el momento de la publicación, no se disponía de información sobre el método o canal a través del cual se distribuyó este enlace a las víctimas potenciales.

Figure 12. Dedicated website, mimicking Galaxy Store, for distributing malicious ToTok app
Figura 12. Sitio web dedicado, imitando Galaxy Store, para distribuir la aplicación maliciosa ToTok

El segundo dominio activo iniciaba la descarga de la app ToSpy después de que el usuario hiciera clic en OK, como se muestra en la Figura 13.

Figure 13. Distribution website of the second active domain
Figura 13. Sitio web de distribución del segundo dominio activo

Flujo de ejecución

Figure 14. ToSpy execution flow
Figura 14. Flujo de ejecución de ToSpy

Al ejecutarse, la aplicación maliciosa ToTok solicita permisos para acceder a los contactos y al almacenamiento del dispositivo, presentando falsamente los permisos como un requisito para que la aplicación funcione correctamente. Sin embargo, estos permisos son críticos para el funcionamiento de ToSpy, ya que le permiten acceder a datos sensibles.

Una vez concedidos los permisos, el malware envía la información del dispositivo comprometido al servidor de C&C y espera nuevas instrucciones. Cuando el servidor de C&C envía la orden de proceder, ToSpy inicia la exfiltración de datos.

La aplicación también comprueba la disponibilidad de lo que sospechamos es una versión actualizada del spyware enviando una petición ahttps://spiralkey[.]co/totok_update/totokversion.php.

Figure 15. Checking whether an update is available
Figura 15. Comprobación de la disponibilidad de una actualización

Si hay disponible una versión más reciente, la aplicación intenta descargarla desde el enlace codificadohttps://spiralkey[.]co/totok_update/totok_pro.apk.

A continuación, se pide al usuario que instale manualmente el APK descargado; véase la Figura 16.

Figure 16. Simulated request to install update
Figura 16. Solicitud simulada para instalar la actualización

Durante nuestro análisis, no pudimos recuperar el archivo de este enlace, por lo que no pudimos verificar si se trata simplemente de una versión actualizada del programa espía o de una carga maliciosa diferente.

Al igual que ProSpy, ToSpy también incluye pasos diseñados para engañar a la víctima haciéndole creer que el malware que acaba de instalar es una aplicación legítima. Después de que el usuario inicie la aplicación maliciosa de ToTok, hay dos escenarios posibles: o bien la aplicación oficial de ToTok está instalada en el dispositivo o no lo está.

Si la app oficial de ToTok no está instalada en el dispositivo, ToSpy intenta redirigir al usuario a la Huawei AppGallery (ver Figura 17), ya sea a través de una app de Huawei ya instalada o a través del navegador por defecto, sugiriendo al usuario que descargue la app oficial de ToTok. Sin embargo, basándose en el enlace codificado de Huawei, la aplicación ya no parece estar disponible en la tienda de aplicaciones, lo que puede resultar en un callejón sin salida o confusión para el usuario.

Figure 17. No result for ToTok app in AppGallery
Imagen 17. No hay resultados para la aplicación ToTok en AppGallery

Sin embargo, si la app oficial de ToTok ya está instalada en el dispositivo, cada vez que se inicia la app maliciosa, primero muestra una pantalla de Comprobación de actualización y, a continuación, inicia sin problemas la app oficial de ToTok, haciendo que parezca que el usuario simplemente está utilizando la app legítima.

En segundo plano, el programa espía puede recopilar y filtrar los siguientes datos

  • contactos del usuario;
  • archivos con extensiones específicas como .pdf, .ttkmbackup, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .opus, .vcf, .csv,.jpg, .jpeg, .png, .wav y .mp3; e
  • información básica del dispositivo.

La extensión de archivo .ttkmbackup es particularmente notable, ya que se utiliza para almacenar copias de seguridad de datos de ToTok, lo que sugiere un interés específico en la extracción del historial de chat o datos de la aplicación.

Todos los datos extraídos se encriptan utilizando cifrado AES en modo CBC (Cipher Block Chaining) con una clave codificada(p2j8w9savbny75xg). A continuación, los datos se envían a un servidor de C&C mediante una solicitud POST HTTPS. La Figura 18 muestra el código descompilado del método malicioso responsable de la exfiltración de datos de la víctima.

Figure 18. Method responsible for data exfiltration to C&C server
Figura 18. Método responsable de la filtración de datos al servidor de C&C

La clave codificada también se utiliza para descifrar cadenas codificadas dentro de la aplicación, como la lista de extensiones de archivos y las direcciones de los servidores de C&C. La misma clave se utiliza para cifrar los datos de la víctima. La misma clave se utiliza para cifrar y descifrar las seis muestras.

Persistencia

Una vez instalado, el spyware de ambas campañas mantiene la persistencia y garantiza un funcionamiento continuo en los dispositivos comprometidos mediante:

  • Servicio en primer plano: El spyware ejecuta un servicio en primer plano que muestra notificaciones persistentes y es tratado por Android como un proceso prioritario.
Figure 19. Persistent Signal Encryption Plugin notification
Figura 19. Notificación persistente del complemento de cifrado de señal
  • Gestor de alarmas para el reinicio del servicio: Utiliza el AlarmManager de Android para reiniciar repetidamente el servicio en primer plano, asegurando que incluso si el servicio se mata, reanude rápidamente su funcionamiento (lo que le permite realizar tareas como buscar actualizaciones, mantener la comunicación con los servidores de C&C y exfiltrar datos).
  • Persistencia de arranque con BroadcastReceiver para BOOT_COMPLETED: El componente rastrea los eventos de arranque del sistema. Tras el reinicio del dispositivo, el spyware relanza automáticamente sus servicios en segundo plano, asegurándose de que permanece activo sin la interacción del usuario.

Estas estrategias no son muy sofisticadas, pero son eficaces cuando se trata de mantener el spyware en funcionamiento continuo, maximizar las oportunidades de exfiltración de datos y minimizar la concienciación del usuario.

Conclusión

Hemos identificado dos campañas distintas de spyware para Android -Android/Spy.ProSpy y Android/Spy.ToSpy- dirigidas a usuarios de los EAU y que comparten rasgos comunes como la suplantación de aplicaciones legítimas, el uso de ingeniería social, la instalación manual, los servicios persistentes en segundo plano y la amplia capacidad de exfiltración de datos. A pesar de estas similitudes, los rastreamos por separado debido a las diferencias en los métodos de distribución y la infraestructura.

ProSpy se distribuye a través de complementos y plugins falsos para Signal y ToTok, mientras que ToSpy sólo imita la aplicación de mensajería ToTok. La campaña de ToSpy está en curso, con dominios de distribución y servidores de C&C activos. Sin embargo, la atribución sigue sin ser concluyente.

Los usuarios deben permanecer alerta cuando descarguen aplicaciones de fuentes no oficiales y evitar activar la instalación desde orígenes desconocidos, así como cuando instalen aplicaciones o complementos fuera de las tiendas de aplicaciones oficiales, especialmente las que afirman mejorar servicios de confianza.

Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Puede encontrar una lista completa de indicadores de compromiso (IoCs) y muestras en nuestro repositorio GitHub.

Archivos

SHA-1 Filename Detection Description
03FE2FCF66F86A75242F6112155134E66BC586CB e18683bc061e888f158c9a3a7478615df2d7daae1952a072d7f549cd1c1e326a.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
B22D58561BB64748F0D2E57B06282D6DAF33CC68 totok_v1.8.8.411.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
BDC16A05BF6B771E6EDB79634483C59FE041D59B totok_V2.8.3.10113.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
DB9FE6CC777C68215BB0361139119DAFEE3B3194 totok_Version_1_9_5_433.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
DE148DDFBF879AB2C12537ECCCDD0541A38A8231 v1_8_6_405_totok.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
CE378AE427E4BD70EAAED204C51811CD74F9A294 v1_8_7_408_totok.apk Android/Spy.ToSpy.A Android ToSpy spyware impersonating ToTok app.
7EFEFF53AAEBF4B31BFCC093F2332944C3A6C0F6 ae.totok.chat.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating ToTok Pro.
154D67F871FFA19DCE1A7646D5AE4FF00C509EE4 signal-encryption-plugin.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating Signal Encryption Plugin.
154D67F871FFA19DCE1A7646D5AE4FF00C509EE4 signal_encyption_plugin.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating Signal Encryption Plugin.
43F4DC193503947CB9449FE1CCA8D3FEB413A52D toktok.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating ToTok Pro.
579F9E5DB2BEFCCB61C833B355733C24524457AB totok.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating ToTok Pro.
80CA4C48FA831CD52041BB1E353149C052C17481 totok_encrypted_enStr.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating ToTok Pro.
FFAAC2FDD9B6F5340D4202227B0B13E09F6ED031 signal-encryption-plugin.apk Android/Spy.ProSpy.A Android ProSpy spyware impersonating ToTok Pro.

Red

IP Domain Hosting provider First seen Details
86.105.18[.]13 noblico[.]net WorldStream 2023‑08‑19 Android ToSpy C&C server.
185.7.219[.]77 ai-messenger[.]co RIPE-NCC-HM-MNT, ORG-NCC1-RIPE 2023‑01‑18 Android ToSpy distribution domain.
152.89.29[.]73 spiralkey[.]co Belcloud LTD 2022‑11‑28 Android ToSpy C&C server.
5.42.221[.]106 store.latestversion[.]ai BlueVPS OU 2025‑06‑27 Android ToSpy distribution domain.
152.89.29[.]78 store.appupdate[.]ai Belcloud LTD 2025‑03‑11 Android ToSpy distribution domain.
185.140.210[.]66 totokupdate[.]ai Melbikomas UAB 2022‑08‑02 Android ToSpy distribution domain and C&C server.
176.123.7[.]83 app-totok[.]io ALEXHOST SRL 2024‑03‑07 Android ProSpy C&C server.
185.27.134[.]222 signal.ct[.]ws RIPE-NCC-HM-MNT, ORG-NCC1-RIPE 2025‑04‑21 Android ProSpy distribution domain.
185.225.114[.]70 sgnlapp[.]info IPFIB-RIPE 2025‑04‑24 Android ProSpy C&C server.
94.156.128[.]159 encryption-plug-in-signal.com-ae[.]net Belcloud Administration 2025‑05‑06 Android ProSpy distribution domain.
94.156.175[.]105 totokapp[.]info Valkyrie Hosting LLC 2024‑10‑22 Android ProSpy C&C server.
103.214.4[.]135 totok-pro[.]io HostSlim B.V. 2024‑12‑29 Android ProSpy distribution website and C&C server.

Técnicas ATT&CK de MITRE

Estas tablas se construyeron utilizando la versión 17 del marco MITRE ATT&CK.

Tactic ID Name Description
Initial Access T1660 Phishing Android ToSpy and ProSpy have been distributed using dedicated websites impersonating legitimate services.
Execution T1603 Scheduled Task/Job Android ToSpy and ProSpy use AlarmManager to restart the foreground service.
Persistence T1398 Boot or Logon Initialization Scripts Android ToSpy and ProSpy receive the BOOT_COMPLETED broadcast intent to activate at device startup.
T1541 Foreground Persistence Android ToSpy and ProSpy use foreground persistence to keep a service running.
Discovery T1420 File and Directory Discovery Android ToSpy and ProSpy can list files and directories on external storage.
T1418 Software Discovery Android ProSpy obtains a list of installed apps.
T1426 System Information Discovery Android ProSpy can extract information about the device, including device model, device ID, and common system information.
Collection T1533 Data from Local System Android ToSpy and ProSpy can exfiltrate files from a device.
T1636.003 Protected User Data: Contact List Android ToSpy and ProSpy can extract the device’s contact list.
T1636.004 Protected User Data: SMS Messages Android ProSpy can extract SMS messages.
Command and Control T1521.001 Standard Cryptographic Protocol: Symmetric Cryptography Android ToSpy encrypts exfiltrated data using AES encryption.
Exfiltration T1646 Exfiltration Over C2 Channel Android ToSpy and ProSpy exfiltrate data using HTTPS.