Кибершпионаж через поддельные приложения: кампания ProSpy нацелена на Ближний Восток

По данным аналитиков Lookout и Access Now, с 2022 года в странах Ближнего Востока реализуется масштабная кибершпионская кампания с использованием вредоносного ПО ProSpy. Злоумышленники распространяют модифицированные версии популярных приложений, включая Signal, ToTok и Botim, маскируя их под официальные сервисы для безопасной коммуникации.

Первоначально атаки были зафиксированы в Египте, где целью стали журналисты и представители оппозиции. В дальнейшем география расширилась, охватив Бахрейн, ОАЭ, Саудовскую Аравию, Ливан, а также отдельные случаи в Великобритании и США. По оценкам исследователей, операция может быть связана с группировкой BITTER APT, предположительно действующей в интересах сторонних заказчиков.

Механизм атаки строится на социальной инженерии: злоумышленники создают поддельные аккаунты в мессенджерах и профессиональных сетях, включая LinkedIn, устанавливают доверительный контакт с жертвой, после чего направляют фишинговую ссылку. Переход по ней ведёт на поддельный сайт, где пользователю предлагается загрузить «обновление» или «безопасную версию» приложения, фактически являющуюся вредоносным APK-файлом.

После установки ProSpy получает широкий доступ к устройству: собирает контакты, SMS-сообщения, медиафайлы и документы, а также передаёт данные на серверы управления злоумышленников. Вредонос способен выполнять команды удалённо, обеспечивая длительный скрытый контроль над устройством.

Эксперты подчёркивают, что данная кампания отражает рост использования методов социальной инженерии и маскировки под легитимные сервисы. В зоне риска находятся пользователи, работающие с секретной информацией, особенно в регионах с повышенной политической и социальной напряжённостью.