Android Spyware Baru Menyamar Sebagai Signal dan ToTok

Jakarta, 2 Oktober 2025 – Peneliti keamanan menemukan dua kampanye spyware baru di Android yang menargetkan pengguna aplikasi pesan populer. Kampanye ini, yang diberi nama ProSpy dan ToSpy, memanfaatkan situs web palsu yang meniru tampilan resmi Signal dan ToTok untuk menyebarkan file berbahaya.
Menyamar Sebagai Aplikasi Sah
Signal adalah aplikasi pesan terenkripsi dengan lebih dari 100 juta unduhan di Google Play, sementara ToTok sempat populer namun ditarik dari App Store dan Google Play pada 2019 setelah dituduh sebagai alat mata-mata pemerintah UEA. Kini ToTok hanya bisa diunduh melalui situs resmi atau toko aplikasi pihak ketiga.
Dalam kasus terbaru, ESET menemukan bahwa penyerang membuat APK palsu yang dikemas sebagai Signal Encryption Plugin dan versi Pro dari ToTok—padahal keduanya tidak pernah ada. Situs web palsu bahkan meniru domain resmi Signal dan Galaxy Store untuk meyakinkan korban.

Data Sensitif Jadi Sasaran
Begitu dijalankan, spyware ProSpy meminta izin akses ke SMS, kontak, serta file pribadi. Data yang kemudian dicuri meliputi:
- Informasi perangkat (hardware, OS, alamat IP)
- Kontak dan pesan SMS
- File media (audio, dokumen, foto, video)
- Cadangan percakapan ToTok
- Daftar aplikasi terinstal

Untuk menghindari kecurigaan, ProSpy menyamarkan dirinya dengan ikon dan label “Play Services”, lalu menampilkan layar Google Play Service asli jika disentuh.
Sementara itu, spyware ToSpy fokus mencuri dokumen, gambar, video, dan file cadangan ToTok (.ttkmbackup). Data dikirim ke server penyerang setelah terlebih dahulu dienkripsi menggunakan algoritma AES-CBC.
Mekanisme Persistensi
Kedua spyware ini memiliki tiga cara untuk bertahan di perangkat korban:
- AlarmManager API – membuat aplikasi otomatis aktif kembali.
- Foreground service – menampilkan notifikasi persisten agar diprioritaskan sistem.
- BOOT_COMPLETED – aktif kembali setiap kali perangkat direstart.
Sudah Aktif Sejak 2022
ESET meyakini kampanye ToSpy setidaknya sudah berlangsung sejak 2022, berdasarkan sertifikat pengembang, domain distribusi, serta sampel yang ditemukan di VirusTotal. Infrastruktur C2 yang masih aktif menandakan serangan ini belum berhenti.
Rekomendasi
Untuk menghindari infeksi spyware, pengguna Android disarankan untuk:
- Mengunduh aplikasi hanya dari toko resmi atau situs publisher terpercaya.
- Mengaktifkan Google Play Protect agar perangkat terlindungi dari ancaman yang sudah terdeteksi.
- Waspada terhadap tawaran plugin atau upgrade aplikasi yang tidak resmi.