Rămâi fără conturi pe Signal și WhatsApp: Avertismentul specialiștilor în securitate cibernetică, riscurile care te pândesc dacă nu ești atent

Serviciul american de securitate cibernetică CISA trage un nou semnal de alarmă privind intensificarea atacurilor asupra utilizatorilor de aplicații de mesagerie criptată.

Agenția anunță că grupări susținute de state și operatori de spyware comercial exploatează vulnerabilități, aplicații contrafăcute și chiar atacuri „zero-click” pentru a compromite conturi de Signal și WhatsApp.

Țintele sunt persoane considerate „de interes ridicat”, de la oficiali guvernamentali până la membri ai organizațiilor civice, atât din SUA, cât și din Europa și Orientul Mijlociu, scrie The Register.

Potrivit CISA, atacatorii nu încearcă să spargă criptarea acestor platforme. În schimb, se concentrează pe slăbiciunile dispozitivelor sau ale unor funcții din aplicații, folosind tehnici de inginerie socială, clone malițioase ale aplicațiilor și exploit-uri complexe pentru a obține acces direct la mesajele utilizatorilor.

Cum ocolesc atacatorii criptarea aplicațiilor de mesagerie

În alerta publicată luni, CISA descrie modul în care operatori de spyware folosesc tactici variate, de la linkuri de phishing și coduri QR modificate, până la aplicații false care imită Signal sau TikTok, pentru a infecta telefoanele victimelor cu programe de supraveghere.

Odată instalate, aceste instrumente permit colectarea de mesaje, fișiere, înregistrări și alte date sensibile, dar și instalarea altor tipuri de malware.

Un exemplu discutat în raport este campania documentată de divizia Google Threat Intelligence Group la începutul anului.

Mai multe grupări asociate Rusiei, inclusiv Sandworm și Turla, au încercat să acceseze conturi Signal abuzând funcția care permite conectarea mai multor dispozitive la același cont.

Victimele erau atrase să scaneze coduri QR modificate, care adăugau în mod invizibil un dispozitiv controlat de atacatori. Astfel, mesajele noi ajungeau simultan la victimă și la atacator.

O altă campanie semnalată provine din cercetările Palo Alto Networks Unit 42 și vizează dispozitive Samsung Galaxy. Acolo, spyware-ul cunoscut sub numele LANDFALL era livrat prin combinarea unei vulnerabilități Samsung cu un exploit „zero-click” pentru WhatsApp.

Atacatorul trimitea o simplă imagine malițioasă, iar telefonul se compromitea automat în momentul primirii fișierului, fără nicio acțiune din partea utilizatorului.

Aplicații contrafăcute, phishing și noi familii de spyware Android

CISA subliniază că nu toate atacurile necesită exploatări sofisticate. Unele campanii, precum cele asociate cu ProSpy și ToSpy, folosesc aplicații care imită perfect programe populare. Odată instalate, acestea preiau conținutul din conversații și alte date stocate pe telefon.

O altă familie de spyware identificată de Zimperium, denumită ClayRat, este răspândită în Rusia prin canale Telegram false și site-uri care pretind că oferă descărcări legitime pentru WhatsApp, TikTok sau YouTube. Scopul acestor aplicații falsificate este același: interceptarea informațiilor private.