Forscher des europäischen IT-Sicherheitsherstellers ESET haben zwei bislang undokumentierte Android-Spyware-Familien aufgedeckt. Die beiden Schadsoftware-Stämme tarnen sich als Kommunikations-Apps bzw. Plugins für solche Anwendungen. Sie nehmen gezielt Menschen in den Vereinigten Arabischen Emiraten ins Visier: Android/Spy.ProSpy (getarnt u. a. als „Signal Encryption Plugin“ und „ToTok Pro“) sowie Android/Spy.ToSpy (getarnt als ToTok) durchsuchen infizierte Geräte nach persönlichen Informationen. Beide Kampagnen werden über täuschend echt gestaltete Webseiten und gefälschte App-Stores verbreitet.
Bei ToTok handelt es sich um einen kontroversen, in den VAE entwickelten Messenger-Dienst. Er wurde 2019 auf Google Play und im Appstore veröffentlicht, aber im selben Jahr aufgrund von Datenschutzbedenken wieder entfernt.
„Keine der schädlichen Apps war in offiziellen Stores erhältlich – die Installation erfolgte ausschließlich über Drittseiten, die seriöse Dienste vortäuschen“, sagt ESET Forscher Lukáš Štefanko, der die Kampagnen analysiert hat. „Eine der Seiten kopierte den Galaxy Store und führte Nutzer direkt zu einem manipulierten ToTok-Download.“
So gehen die Angreifer vor
ProSpy ist seit mindestens 2024 aktiv und tauchte in der ESET Telemetrie Juni 2025 erstmals deutlich auf. Die Malware wird über mehrere Websites verteilt, die Signal bzw. ToTok imitieren.
ToSpy ist seit Mitte 2022 in Benutzung und die aktuellen Untersuchungen deuten auf andauernde Kampagnen hin. Einzelne Seiten ahmen legitime App-Plattformen nach, z. B. den Galaxy Store von Samsung.
Was stiehlt die Spyware?
Beide Familien zielen breit auf persönliche Daten und Dateien ab. Dazu gehören Kontakte und Geräteinformationen sowie Dokumente, Fotos, Audio-/Videoaufnahmen bis hin zu Chat-Backups. ProSpy kann zusätzlich SMS abgreifen. Die Übertragung an die Drahtzieher erfolgt fortlaufend im Hintergrund, nachdem die Apps umfangreiche Berechtigungen erfragt haben.
Besonders brisant: ToSpy sucht gezielt nach Dateien mit der Endung .ttkmbackup. einem Format für das ToTok-Backups. Das deutet auf Interesse an Gesprächs- und App-Daten hin.
Täuschung und Tarnung
Um glaubwürdig zu wirken, leiten die Fake-Apps nach dem Start oft zur echten Signal- oder ToTok-App weiter. In einem Fall ändert sich sogar Icon und Name der App in „Play Services“, um Entdeckung zu erschweren.
„Nutzer sollten Apps ausschließlich aus offiziellen Quellen installieren und keine ‚Erweiterungen‘ für Messenger von Drittseiten zulassen“, rät Štefanko.
Weitere Informationen zu den gefälschten Apps gibt es in ESETs Blogpost auf Welivesecurity.com