Dos nuevas campañas de spyware dirigidas a usuarios de Android, conocidas como ProSpy y ToSpy, están utilizando tácticas engañosas para hacerse pasar por actualizaciones o complementos legítimos de las populares apps de mensajería Signal y ToTok. El objetivo es claro: obtener acceso a datos sensibles almacenados en los dispositivos, como mensajes, contactos, ubicación y más.
Para hacer que los archivos maliciosos parecieran confiables, los atacantes crearon páginas web falsas que imitaban a la perfección los sitios oficiales de estas plataformas, lo que aumentaba la probabilidad de que los usuarios instalaran las aplicaciones sin sospechar nada.
Por si no las conoces, Signal es una aplicación de mensajería centrada en la privacidad, con cifrado de extremo a extremo y más de 100 millones de descargas en Google Play. ToTok, por su parte, fue desarrollada por la empresa G42, con sede en Emiratos Árabes Unidos.
Aunque fue eliminada de las tiendas oficiales de Apple y Google en 2019 tras acusaciones de uso con fines de vigilancia, aún puede descargarse desde su sitio web y tiendas de apps de terceros.
En TecnetOne te mantenemos al día sobre estas nuevas amenazas emergentes, para que puedas proteger tu información y mantener tu dispositivo seguro.
La campaña de spyware ProSpy lleva operando de forma silenciosa desde al menos 2024, y todo apunta a que su objetivo principal son usuarios en Emiratos Árabes Unidos. Aunque la actividad fue identificada oficialmente en junio, todo indica que los atacantes llevaban tiempo operando bajo el radar.
Durante el análisis de la campaña se detectaron dos variantes de spyware completamente nuevas, diseñadas para hacerse pasar por herramientas legítimas: una supuesta extensión de cifrado para Signal y una versión "Pro" de la app ToTok. Lo curioso es que ninguna de estas funciones o versiones existe realmente, lo que refuerza el nivel de engaño detrás de estas apps maliciosas.
Para distribuir los archivos infectados (en formato APK), los responsables de la campaña crearon sitios web falsos que imitaban páginas oficiales. Algunos de estos dominios clonaban la web de Signal, como signal.ct[.]ws o encryption-plug-in-signal.com-ae[.]net/, mientras que otros simulaban ser tiendas oficiales como la Samsung Galaxy Store, usando direcciones como store.latestversion[.]ai o store.appupdate[.]ai.
Todo el diseño estaba pensado para parecer legítimo y confiable, haciendo que cualquier usuario desprevenido pudiera caer fácilmente en la trampa.
Sitio web del complemento Fake Signal (Fuente: ESET)
Al intentar acceder a los sitios web utilizados para distribuir el malware, se descubrió que la mayoría ya estaban fuera de línea, mientras que otros simplemente redirigían al sitio oficial de ToTok. Esta técnica es común en campañas de malware y tiene un objetivo claro: evitar sospechas y parecer legítimos a simple vista.
Una vez que la app maliciosa ProSpy se instala en un dispositivo Android, solicita permisos comunes en cualquier app de mensajería, como el acceso a los contactos, SMS y archivos almacenados. Pero lo que hace después con esa información es lo preocupante.
Ya en funcionamiento, el malware comienza a recolectar una amplia gama de datos personales, incluyendo:
Información del dispositivo: hardware, sistema operativo, dirección IP
Mensajes SMS almacenados
Lista de contactos
Archivos personales (fotos, vídeos, documentos, grabaciones de audio)
Archivos de respaldo de ToTok
Lista de aplicaciones instaladas
Para evitar ser detectado, ProSpy se camufla usando el nombre y el ícono de “Servicios de Google Play”, una app que casi todos los usuarios reconocen y rara vez cuestionan. Al tocar el ícono, el malware redirige a la pantalla de información de la app legítima, haciendo que parezca que todo está en orden.
Además, si el malware detecta que la app oficial de Signal o ToTok no está instalada en el dispositivo, redirige automáticamente al sitio de descarga legítimo. Esta táctica de “doble juego” está diseñada para mantener la confianza del usuario mientras el malware opera en segundo plano.
Más abajo te mostramos un diagrama que explica cómo ProSpy logra infiltrarse, recopilar datos y mantenerse oculto sin levantar sospechas.
Flujo de ejecución de ProSpy
Podría interesarte leer: SnakeStealer: El Infostealer que Domina el Robo de Contraseñas en 2025
Aunque aún sigue activa hoy, todo apunta a que la campaña ToSpy podría haberse iniciado hace más de dos años, posiblemente desde 2022. Varios elementos encontrados durante el análisis de la operación así lo sugieren.
Por ejemplo, se detectó un certificado de desarrollador creado el 24 de mayo de 2022, además de un dominio vinculado a la distribución del spyware y su infraestructura de control (C2) registrado apenas unos días antes, el 18 de mayo. También se identificaron muestras del malware subidas a VirusTotal el 30 de junio de ese mismo año.
Todos estos indicios apuntan a que ToSpy no es una amenaza nueva, sino una campaña que ha sabido mantenerse activa y evolucionar con el tiempo, utilizando técnicas cada vez más sofisticadas para evitar ser detectada.
Página falsa de Galaxy Store
La versión falsa de ToTok utilizada en esta campaña de spyware no pierde tiempo: apenas se instala, pide acceso a los contactos y al almacenamiento del dispositivo, permisos que pueden parecer normales para una app de mensajería. Sin embargo, una vez concedidos, empieza a recolectar todo tipo de datos personales, poniendo especial atención en:
Documentos
Imágenes y videos
Copias de seguridad del chat de ToTok (archivos con extensión .ttkmbackup)
Para ocultar aún más su comportamiento, el malware cifra toda la información robada antes de enviarla a los servidores del atacante. Utiliza AES en modo CBC, un algoritmo de cifrado simétrico bastante común, que hace que los datos robados parezcan inofensivos en tránsito.
Pero ahí no termina el engaño. Para no levantar sospechas, si el usuario abre la app falsa y tiene instalada la ToTok original, el malware la lanza automáticamente, haciendo que todo parezca normal. Si la app real no está presente en el dispositivo, intenta redirigir al usuario a la Huawei AppGallery, ya sea a través de la app o del navegador web predeterminado, para que descargue la versión legítima.
Este tipo de comportamiento (mezclar una experiencia aparentemente legítima con funciones ocultas de espionaje) es una táctica cada vez más usada en campañas de malware móvil sofisticado.
Flujo de ejecución de ToSpy
Conoce más sobre: Concientización en Ciberseguridad: Una Charla al Año no es Suficiente
Tanto ProSpy como ToSpy están diseñados para mantenerse activos en el dispositivo infectado el mayor tiempo posible. Para lograrlo, usan tres mecanismos de persistencia bastante efectivos, que les permiten seguir funcionando incluso después de reiniciar el teléfono o de que el usuario intente eliminarlos:
Abusan de la API de Android "AlarmManager" para volver a activarse automáticamente si la app es eliminada o forzada a cerrar.
Ejecutan un servicio en primer plano con una notificación persistente, lo que hace que el sistema Android los trate como procesos importantes y no los cierre fácilmente.
Se registran para recibir el evento de BOOT_COMPLETED, lo que les permite reiniciarse automáticamente cuando el teléfono se enciende, sin necesidad de que el usuario haga nada.
Además, aunque ESET ha publicado una lista completa de indicadores de compromiso (IoC) asociados a estas campañas (lo que ayuda a investigadores y soluciones de seguridad a detectar el spyware), por ahora no hay una atribución clara sobre quién está detrás de estos ataques.
Desde TecnetOne, te compartimos algunas recomendaciones clave para mantenerte seguro:
Descarga solo desde fuentes oficiales. Usa siempre la Google Play Store o, si necesitas una app externa, asegúrate de obtenerla directamente desde el sitio web oficial del desarrollador.
Activa Google Play Protect. Esta herramienta integrada en Android escanea automáticamente tus aplicaciones para detectar amenazas conocidas y prevenir comportamientos sospechosos.
Evita instalar archivos APK de fuentes no confiables, especialmente si provienen de mensajes, correos electrónicos o enlaces que no esperabas.
Revisa y controla los permisos que das a las apps. Si una app de mensajería te pide acceso al micrófono, la ubicación, los archivos y más, asegúrate de que realmente lo necesita para funcionar.
En TecnetOne creemos que la prevención es tu mejor defensa. Estar informado y aplicar estas buenas prácticas puede marcar la diferencia entre un dispositivo seguro y uno comprometido.