ESET warnt: Spionage-Apps tarnen sich als Signal

Cybersicherheitsfirma entdeckt raffinierte Spyware-Kampagnen, die sich als beliebte Messenger-Apps ausgeben und gezielt Nutzer in den Vereinigten Arabischen Emiraten ins Visier nehmen.

Die Sicherheitsexperten von ESET haben diese Woche zwei bisher unbekannte Spionage-Programme namens „ProSpy“ und „ToSpy“ identifiziert. Die Malware wird über gefälschte Websites verbreitet, die sich als sichere Messaging-App Signal oder die früher populäre ToTok-App tarnen. Besonders brisant: Die Kampagnen scheinen speziell auf Nutzer in den Vereinigten Arabischen Emiraten abzuzielen.

Die am Donnerstag veröffentlichte Entdeckung zeigt einen besorgniserregenden Trend: Angreifer umgehen die Sicherheitsvorkehrungen offizieller App-Stores durch ausgeklügelte Social-Engineering-Methoden. Keine der infizierten Apps war im Google Play Store verfügbar – stattdessen mussten Nutzer sie manuell von Drittanbieter-Seiten herunterladen.

Doppeltes Spiel mit gefälschten App-Stores

Während beide Spyware-Kampagnen unterschiedliche Infrastrukturen nutzen, weisen sie ähnlichen Code und identische Ziele auf. ProSpy, vermutlich seit 2024 aktiv, bietet über gefälschte Websites schädliche Android-Apps an, die sich als „Signal Encryption Plugin“ oder verbesserte ToTok-Version namens „ToTok Pro“ ausgeben.

Besonders dreist: Eine der Vertriebsseiten imitierte sogar den Samsung Galaxy Store. Die Verwendung einer „.ae.net“-Domain deutet auf die gezielte Ansprache von Einwohnern der Emirate hin.

Die ToSpy-Kampagne konzentriert sich ausschließlich auf die Nachahmung von ToTok – eine strategische Wahl der Angreifer. Die App war bis 2019 extrem beliebt in den VAE, bevor sie wegen Spionage-Vorwürfen aus den offiziellen Stores entfernt wurde.

Vollzugriff auf persönliche Daten

Sobald Nutzer die geforderten Berechtigungen erteilen – einschließlich Zugriff auf Kontakte, SMS und Dateien – beginnt die Spyware ihre heimliche Arbeit. Die kompromittierten Daten umfassen Geräteinformationen, Chat-Backups, Bilder, Videos, Audiodateien und Kontaktlisten.

Alarmierend: Die Kommando-Server der ToSpy-Kampagne sind weiterhin aktiv, was auf eine anhaltende Bedrohung hindeutet.

Wachsende Bedrohungslandschaft

Diese Entdeckungen stehen nicht isoliert da. Parallel identifizierten Forscher von Cleafy den mächtigen Android-Trojaner „Klopatra“, der vermutlich von türkischsprachigen Akteuren entwickelt wurde. Über gefälschte IPTV- und VPN-Apps verbreitet, kann er Banking-Daten und Kryptowährungen stehlen sowie Geräte fernsteuern.

Seit März 2025 durchlief Klopatra bereits 40 Entwicklungszyklen – ein Zeichen aktiver Weiterentwicklung.

Sideloading als Einfallstor

Der Hauptvertriebsweg für diese Bedrohungen ist das „Sideloading“ – die manuelle Installation von Apps außerhalb des Google Play Store. „Keine der Spyware-Apps war in offiziellen Stores verfügbar“, erklärt ESET-Forscher Lukáš Štefanko. Diese Methode umgeht Googles robuste Sicherheitsprüfungen wie Google Play Protect.

Anzeige: Übrigens: Wer Apps manuell außerhalb des Play Store installiert, erhöht das Risiko für Spyware-Infektionen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Ihr Android – mit Schritt-für-Schritt-Anleitungen zu App-Prüfungen, Berechtigungen, Updates und sicheren Einstellungen. Ideal, wenn Sie WhatsApp, Online-Banking oder PayPal nutzen und Ihre Daten zuverlässig schützen wollen. Jetzt kostenloses Android‑Sicherheitspaket anfordern

Die Angreifer werden immer geschickter beim Social Engineering und erstellen überzeugende Köder, die das Nutzervertrauen ausnutzen. Kann das aktuelle Sicherheitssystem dieser Entwicklung standhalten?

Schutzmaßnahmen für Nutzer

Sicherheitsexperten raten dringend davon ab, Anwendungen von inoffiziellen Quellen herunterzuladen. Nutzer sollten Apps, die Verbesserungen vertrauensvoller Dienste versprechen, mit größter Skepsis begegnen – besonders wenn manuelle Installation erforderlich ist.

Entscheidende Schutzmaßnahmen: App-Berechtigungen sorgfältig prüfen, „Installation aus unbekannten Quellen“ in Android-Einstellungen deaktivieren und bei verdächtigen Downloads sofort einen Sicherheitsscan durchführen.

Die Zukunft der mobilen Sicherheit hängt von der Kombination aus Plattform-Sicherheit und aufmerksamen, vorsichtigen Nutzern ab.

Anzeige: Für alle, die ihr Android-Gerät in wenigen Minuten deutlich sicherer machen möchten: Das kostenlose Sicherheitspaket bündelt die 5 wirksamsten Maßnahmen – ganz ohne teure Zusatz-Apps. Mit Checklisten und klaren Schritt-für-Schritt-Anleitungen für mehr Schutz vor Phishing, Schad-Apps und Datenklau. Gratis-Ratgeber jetzt herunterladen