Des spywares Android ciblent les utilisateurs de Signal et ToTok

Génération NT / Actualités / Des spywares Android ciblent les utilisateurs de Signal et ToTok

Publié le 02 octobre 2025 à 17:40 par Jérôme G.

ProSpy et ToSpy sont deux spywares Android qui ciblent les utilisateurs des applications de messagerie Signal et ToTok. Les attaquants les distribuent via de faux sites web se faisant passer pour les plateformes officielles ou pour des boutiques d'applications.

Des chercheurs en cybersécurité d'ESET ont mis au jour deux campagnes de logiciels espions Android au nom de ProSpy et ToSpy. Bien que distinctes dans leur infrastructure, elles partagent une stratégie commune qui consiste à leurrer l'utilisateur avec de fausses améliorations et ciblent en particulier les Émirats arabes unis.

Le malware ProSpy se déguise en un prétendu " Signal Encryption Plugin " ou en une version " ToTok Pro ". Une fois les permissions accordées par la victime, le piège se referme. Pour masquer sa présence, le malware tente ensuite de rediriger l'utilisateur vers le site officiel pour télécharger l'application légitime, créant ainsi une illusion de normalité.

Dans le cas du faux plugin Signal, l'icône de l'application malveillante se transforme même en celle de Play Services après la première exécution pour devenir quasi indétectable sur l'écran d'accueil.

Comment les attaquants trompent-ils leurs victimes ?

La méthode employée par les cybercriminels repose sur une ingénierie sociale bien rodée. En exploitant la popularité de Signal et celle de ToTok aux Émirats arabes unis, ils créent un besoin artificiel pour de fausses extensions ou versions premium.

Des sites web frauduleux imitent les portails officiels, tandis que d'autres simulent des plateformes de confiance comme le Samsung Galaxy Store. Selon ESET, les applications malveillantes ne sont disponibles sur aucun store officiel et requièrent une installation manuelle.

" L'un des sites web distribuant la famille de logiciels malveillants ToSpy imitait le Samsung Galaxy Store, attirant les utilisateurs pour qu'ils téléchargent et installent manuellement une version malveillante de l'application ToTok ", écrit un chercheur d'ESET.

Des données sensibles menacées

Une fois installés, les spywares ProSpy et ToSpy procèdent à une collecte de données à grande échelle. La liste des informations exfiltrées est longue et intrusive (contacts, messages SMS, informations complètes sur l'appareil, liste de toutes les applications installées...).

De plus, les malwares recherchent et volent des fichiers stockés sur l'appareil, classés par catégories : documents (PDF, Word, Excel), archives (ZIP, RAR), images, vidéos et fichiers audio. ToSpy s'intéresse aux fichiers de sauvegarde de ToTok portant l'extension .ttkmbackup.

Toutes ces données sensibles sont ensuite envoyées discrètement vers un serveur de commande et de contrôle géré par les attaquants.

Des logiciels espions qui parviennent à rester actifs

Pour assurer leur fonctionnement continu et échapper à la vigilance de l'utilisateur, les malwares emploient plusieurs techniques de persistance.

Les deux familles ProSpy et ToSpy utilisent un service de premier plan (Foreground Service) qui affiche une notification permanente, ce qui le rend moins susceptible d'être terminé par le système d'exploitation Android.

De plus, ils exploitent l'API AlarmManager du système pour se relancer automatiquement s'ils sont arrêtés. Enfin, ils s'enregistrent pour recevoir l'événement BOOT_COMPLETED, leur permettant de redémarrer leurs services à chaque fois que l'appareil est allumé, le tout sans aucune interaction de l'utilisateur.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire