Une double campagne d’espionnage à l’architecture complexe
Les chercheurs d’ESET Research ont identifié deux nouvelles familles de spywares Android : Android/Spy.ProSpy et Android/Spy.ToSpy. Ces menaces exploitent des techniques avancées de camouflage et d’ingénierie sociale pour se faire passer pour des applications de messagerie sécurisée telles que Signal et ToTok.
Derrière une apparence légitime, ces malwares dissimulent un code espion modulaire capable d’exfiltrer en continu des données depuis les smartphones infectés vers des serveurs de commande et de contrôle (C&C) encore actifs.
Les chercheurs ont constaté une forte concentration de détections aux Émirats arabes unis, où la distribution repose sur des faux stores Android et des sites de téléchargement usurpant l’identité de services officiels.
ProSpy : un faux “plugin” de chiffrement exploitant l’image de Signal
Détectée en juin 2025, la campagne Android/Spy.ProSpy se propage via trois domaines frauduleux conçus pour imiter les interfaces de Signal et de ToTok. Les fichiers APK malveillants y sont présentés sous forme d’extensions baptisées Signal Encryption Plugin et ToTok Pro, censées renforcer la sécurité des communications.
En réalité, ces APK contiennent un chargeur de code malveillant déclenchant plusieurs modules :
- Module d’initialisation : collecte les métadonnées système, le modèle d’appareil, la version Android et l’IMEI.
- Module de communication C&C : établit une connexion HTTPS chiffrée avec un serveur distant via un protocole personnalisé, contournant les solutions de détection classiques.
- Module d’exfiltration : transfère périodiquement les SMS, contacts, fichiers multimédias, sauvegardes de discussions et documents.
Le choix d’un domaine se terminant par “.ae.net” témoigne d’un ciblage régional explicite, « AE » correspondant au code ISO du pays.
« Ces APK étaient uniquement accessibles via des sites tiers se faisant passer pour des services légitimes, dont une imitation fidèle du Samsung Galaxy Store », explique Lukáš Štefanko, chercheur senior en sécurité mobile chez ESET.
ToSpy : une architecture persistante et un protocole d’exfiltration masqué
La seconde campagne, Android/Spy.ToSpy, repérée par la télémétrie d’ESET en juin 2025, se concentre sur des utilisateurs situés aux Émirats arabes unis. Elle s’appuie sur quatre domaines frauduleux proposant une version contrefaite de ToTok.
ToSpy est doté d’une infrastructure de commande et de contrôle décentralisée, capable de rediriger les flux de données via plusieurs nœuds intermédiaires pour brouiller la traçabilité.
Son code comprend :
- Un service Android persistant, relancé automatiquement après chaque redémarrage.
- Des routines d’exfiltration séquencées, organisées par type de données (contacts, sauvegardes, médias).
- Une communication chiffrée basée sur un tunnel HTTPS encapsulé dans une requête POST falsifiée, mimant des échanges applicatifs légitimes.
Les analyses suggèrent que la campagne ToSpy serait active depuis mi-2022, une longévité rare dans l’écosystème des spywares Android, indiquant une infrastructure durable et continuellement maintenue.
Une sophistication croissante des malwares Android
L’étude d’ESET souligne la montée en complexité des spywares Android, dont les mécanismes de persistance et de furtivité rivalisent désormais avec ceux des malwares de bureau.
ProSpy et ToSpy utilisent des techniques de dissimulation telles que :
- L’obfuscation du code à l’aide de ProGuard et DexGuard ;
- La désactivation de la vérification de signature dans le manifeste Android ;
- Et la dynamisation du code via des bibliothèques chargées à la volée depuis des serveurs distants.
Ces stratégies permettent d’éviter la détection par les antivirus mobiles et de prolonger la durée de vie de la campagne.
Une opération d’espionnage régionalisée et hautement ciblée
Les indicateurs techniques — notamment les domaines, certificats SSL et adresses IP des serveurs C&C — pointent vers une infrastructure géographiquement concentrée aux Émirats arabes unis. Cette régionalisation démontre une planification avancée, orientée vers la collecte d’informations sur des individus ou entités locales, plutôt qu’une diffusion massive à l’échelle mondiale.
ESET qualifie cette approche de “cyberespionnage à empreinte locale”, un modèle où les attaquants exploitent la familiarité culturelle et linguistique pour accroître le taux d’infection.
Recommandations techniques et bonnes pratiques
ESET conseille de :
- Limiter les installations d’APK aux stores officiels (Google Play, Galaxy Store).
- Analyser les signatures et les autorisations des fichiers avant installation.
- Bloquer le chargement de bibliothèques externes dynamiques via les outils MDM (Mobile Device Management).
- Mettre à jour régulièrement Android et Google Play Protect pour bénéficier des dernières défenses comportementales.
« Ces campagnes illustrent la convergence entre ingénierie logicielle et manipulation sociale, désormais au cœur des cybermenaces mobiles », conclut Štefanko.
Pour aller plus loin
Une analyse technique complète du code, de la structure réseau et des indicateurs de compromission (IoC) est disponible sur WeLiveSecurity.com :
“De nouvelles campagnes de logiciels espions ciblent les utilisateurs Android soucieux de la confidentialité aux Émirats arabes unis.”
