Android-Spyware täuscht Signal-Nutzer

Cyberkriminelle tarnen ihre Schadsoftware als beliebte Messenger-Apps und spähen gezielt Nutzer in den Vereinigten Arabischen Emiraten aus. Die als „ProSpy“ und „ToSpy“ bezeichneten Kampagnen imitieren Signal und ToTok perfekt.

Die Sicherheitsforscher von ESET entdeckten die raffinierten Angriffe bereits im Juni 2025. Besonders perfide: Die Malware installiert nach der Infektion die echte App, um jeden Verdacht zu zerstreuen. Währenddessen sammelt sie im Hintergrund Kontakte, Nachrichten und andere sensible Daten.

Die Verbreitung erfolgt über gefälschte Download-Seiten, die täuschend echt aussehen. Eine Website imitierte sogar den Samsung Galaxy Store. Die Angreifer nutzen gezielt die regionale Beliebtheit der Apps aus – ToTok war bereits 2019 wegen Spionagevorwürfen aus den offiziellen App-Stores entfernt worden.

Die Schadsoftware verlangt nach der Installation umfassende Berechtigungen für Kontakte, Nachrichten und Dateien. Der Clou: Parallel lädt sie die authentische Version der imitierten App, sodass Nutzer nichts von der Kompromittierung bemerken.

ProSpy gibt sich als „Signal Encryption Plugin“ aus, ToSpy als „ToTok Pro“-Version. Beide Kampagnen sind bereits seit Jahren aktiv – ToSpy seit 2022, ProSpy seit 2024. Die Malware etabliert sich dauerhaft auf dem Gerät und überträgt kontinuierlich Daten an die Angreifer.

Besonders brisant: Die Software kann Chat-Backups auslesen, die eigentlich als sicher gelten. Nutzer wiegen sich in falscher Sicherheit, während ihre vermeintlich verschlüsselten Gespräche kompromittiert werden.

Gezielte Angriffe auf VAE-Nutzer

Die strategische Ausrichtung auf die Vereinigten Arabischen Emirate deutet auf eine gezielte Operation hin. Die Angreifer nutzen Social Engineering und das Vertrauen in bekannte Apps geschickt aus. ToTok eignet sich besonders als Köder, da die App trotz der Spionagevorwürfe in der Region weiterhin populär ist.

ESET bestätigt, dass die Kontrollserver der ToSpy-Kampagne weiterhin aktiv sind. Die Bedrohung besteht also fort, und infizierte Geräte bleiben solange gefährdet, bis die Schadsoftware entdeckt und entfernt wird.

Schutz nur durch offizielle Stores

Sicherheitsexperten raten dringend dazu, Apps ausschließlich über den Google Play Store zu installieren. Wer Anwendungen aus unbekannten Quellen lädt, geht ein enormes Risiko ein. Zusätzlich sollten Nutzer die angeforderten Berechtigungen kritisch prüfen und bei verdächtigen Zugriffsanfragen skeptisch werden.

Anzeige: Übrigens: Wer sich vor gefälschten Download-Seiten, Spionage-Apps und riskanten Berechtigungen schützen möchte, findet konkrete Hilfe im kostenlosen Sicherheitspaket „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“. Der kompakte Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Gerät absichern – inklusive Anleitungen für WhatsApp, Online‑Banking & PayPal, geprüfte Apps, Berechtigungen und wichtige Updates – ganz ohne teure Zusatz-Apps. Jetzt das kostenlose Android-Sicherheitspaket sichern

Bei Verdacht auf eine Infektion empfiehlt sich ein gründlicher Scan mit einer vertrauenswürdigen Mobile-Security-Lösung. Die kontinuierliche Weiterentwicklung mobiler Bedrohungen macht permanente Wachsamkeit unverzichtbar.