Birleşik Arap Emirlikleri ve çevresindeki Android kullanıcıları, sahte Signal ve ToTok uygulamaları üzerinden yayılan iki ayrı zararlı yazılım kampanyasıyla hedef alınıyor.

Siber güvenlik firması ESET’in araştırmasına göre, “ProSpy” ve “ToSpy” adı verilen bu kampanyalar Haziran 2025’te tespit edilse de, saldırıların 2024’ten itibaren başlamış olabileceği düşünülüyor.

Saldırganlar, gerçekte var olmayan “Signal Encryption Plugin” eklentisini ve sahte “ToTok Pro” sürümünü oluşturarak kullanıcıları indirmeye ikna etmeye çalışıyor. Bu tuzağa düşenler, kişisel ve hassas bilgilerinin ele geçirilmesi riskiyle karşı karşıya kalıyor.

Zararlı yazılım nasıl çalışıyor?

Cihaza yüklendiğinde, bu sahte uygulamalar SMS mesajlarına, dosyalara ve kişi listesine erişim istiyor. Ayrıca cihaz bilgileri, yedek dosyaları ve yüklü diğer uygulamaların listesi de saldırganlara aktarılıyor.

Özellikle Signal sahte eklentisi, kurulumdan sonra kendini “Play Services” adıyla yeniden adlandırıyor ve simgesini değiştiriyor. Kullanıcı simgeye dokunduğunda ise gerçek Google Play Services uygulamasının bilgi ekranı açılıyor. Bu sayede tespit edilmeden cihazda kalmayı başarıyor.

Güvende kalmak için

Bu zararlı yazılımlar, resmi mağazalar yerine üçüncü taraf siteler ve özel web sayfaları üzerinden dağıtılıyor. Bu nedenle güvenlik için en önemli adım, yalnızca Google Play Store ve Apple App Store gibi güvenilir kaynaklardan uygulama indirmek.

Signal ve ToTok’un hikayesi

Signal, dünya genelinde yaklaşık 70 milyon kullanıcısı olan, gizliliğe odaklanan güvenilir bir mesajlaşma uygulaması.

ToTok ise 2019’da BAE merkezli G42 şirketi tarafından geliştirildi. Ücretsiz sesli ve görüntülü görüşme imkânı sunduğu için, WhatsApp ve Skype gibi kısıtlı hizmetlere alternatif olarak hızla popülerlik kazandı. Ancak daha sonra, BAE hükümetinin gözetim amaçlı kullandığına dair iddialar ortaya çıktı ve uygulama Google Play Store ile App Store’dan kaldırıldı. Buna rağmen bölgede hâlâ çok sayıda kullanıcıya sahip.