CISA a emis un nou semnal de alarmă privind intensificarea atacurilor asupra aplicațiilor de mesagerie criptată, avertizând că grupări susținute de state și furnizori de spyware comercial vizează utilizatori din SUA, Europa și Orientul Mijlociu. Raportul publicat luni detaliază metode variate de compromis, de la vulnerabilități software la aplicații contrafăcute, fără a încerca să spargă criptarea în sine.

Cum ocolesc atacatorii criptarea aplicațiilor de mesagerie
Operatorii de spyware exploatează slăbiciunile dispozitivelor și funcțiile interne ale platformelor, nu algoritmii de criptare. Tactici comune includ:

– linkuri de phishing și coduri QR modificate;
– clone malițioase ale aplicațiilor Signal, WhatsApp și TikTok;
– exploit‑uri „zero‑click” care se activează fără nicio acțiune a victimei.

Un exemplu documentat de Google Threat Intelligence Group implică grupări rusești, precum Sandworm și Turla, care au folosit coduri QR alterate pentru a adăuga un dispozitiv controlat la conturile Signal ale țintelor. Mesajele noi erau livrate simultan victimelor și atacatorilor, ocolind astfel protecția criptată a platformei.

Aplicații contrafăcute și noi familii de spyware Android
CISA subliniază că nu toate atacurile necesită tehnici sofisticate; multe campanii se bazează pe aplicații false ce imită programe populare. Printre acestea se numără:

– ProSpy și ToSpy, care se prezintă ca aplicații legitime și extrag conversații și fișiere;
– ClayRat, răspândit prin canale Telegram false și site‑uri care pretind a oferi descărcări sigure pentru WhatsApp, TikTok sau YouTube.

Cazul recent al spyware‑ului LANDFALL, identificat de Palo Alto Networks Unit 42, combină o vulnerabilitate Samsung cu un exploit „zero‑click” pentru WhatsApp. O simplă imagine malițioasă declanșează compromiterea telefonului Samsung Galaxy în momentul recepției, fără niciun click al utilizatorului.

Impactul asupra persoanelor de interes ridicat
Țintele raportate includ oficiali guvernamentali, membri ai organizațiilor civice și alte persoane cu acces la informații sensibile. Compromiterea conturilor de mesagerie criptată permite colectarea de mesaje, documente, înregistrări audio și instalarea ulterioară de malware.

Atenție sporită la sursele de instalare
Pentru a reduce riscul, CISA recomandă:

1. descărcarea aplicațiilor doar din magazinele oficiale;
2. verificarea codurilor QR și a linkurilor primite prin mesaje;
3. actualizarea regulată a sistemului de operare și a aplicațiilor de mesagerie criptată.

Monitorizarea continuă a evoluțiilor în domeniul securității cibernetice rămâne esențială pentru protecția utilizatorilor de mesagerie criptată și pentru limitarea accesului neautorizat la date sensibile.