CISA предупредува за активни кампањи на шпионски софтвер кои ги таргетираат корисниците на Signal и WhatsApp со висок вредност

Американската агенција за сајбер безбедност и инфраструктура (CISA) во понеделник издаде предупредување за лоши актери кои активно користат комерцијален шпионски софтвер и remote access trojans (RATs) за да ги таргетираат корисниците на мобилни апликации за пораки.

„Овие сајбер актери користат софистицирани техники за таргетирање и социјален инженеринг за да испорачаат шпионски софтвер и да добијат неовластен пристап до апликацијата за пораки на жртвата, овозможувајќи распоредување на дополнителни злонамерни payload-и кои можат дополнително да го компромитираат мобилниот уред на жртвата“, се наведува во соопштението на агенцијата.

CISA наведе како примери повеќе кампањи кои излегле на виделина од почетокот на годината. Некои од нив вклучуваат:

• Таргетирање на апликацијата за пораки Signal од повеќе актери поврзани со Русија, кои искористиле функцијата „linked devices“ на сервисот за да ги преземат корисничките сметки на целните лица.
• Android шпионски кампањи со кодни имиња ProSpy и ToSpy, кои се претставуваат како апликации како Signal и ToTok за да таргетираат корисници во Обединетите Арапски Емирати, со цел да испорачаат малициозен софтвер кој овозможува постојан пристап до компромитирани Android уреди и да ги ексфилтрира податоците.
• Android шпионска кампања наречена ClayRat таргетирала корисници во Русија, користејќи Telegram канали и фалсификувани phishing страници, претставувајќи се како популарни апликации како WhatsApp, Google Photos, TikTok и YouTube, со цел да ги измамат корисниците да ги инсталираат и да украдат чувствителни податоци.
• Целен напад кој веројатно комбинирал две безбедносни пропусти во iOS и WhatsApp (CVE-2025-43300 и CVE-2025-55177) за да таргетира помалку од 200 корисници на WhatsApp.
• Целен напад кој вклучувал експлоатација на безбедносен пропуст на Samsung (CVE-2025-21042) за да се испорача Android шпионски софтвер наречен LANDFALL на Galaxy уреди на Блискиот Исток.

Агенцијата истакнува дека напаѓачите користат повеќе тактики за постигнување на компромитирање, вклучувајќи QR кодови за поврзување на уреди, zero-click експлоатации и дистрибуирање на лажни верзии на апликации за пораки.

CISA исто така укажува дека овие активности се фокусираат на лица со висок вредност, главно сегашни и поранешни високи владини, воени и политички официјални лица, заедно со организации на граѓанското општество и поединци во САД, Блискиот Исток и Европа.

За да се спречи заканата, агенцијата ги повикува високо таргетираните лица да ги прегледаат и да се придржуваат до следниве најдобри практики:

• Користете исклучиво комуникации со крајно-кратно шифрирање (E2EE)
• Овозможете автентикација отпорна на фишинг преку Fast Identity Online (FIDO)
• Префрлете се од повеќефакторска автентикација (MFA) базирана на Short Message Service (SMS)
• Користете менаџер за лозинки за чување на сите лозинки
• Поставете PIN кај телеком операторот за да ги заштитите мобилните сметки
• Периодично ажурирајте го софтверот
• Изберете најновата верзија на хардверот од производителот на телефонот за максимални безбедносни придобивки
• Не користете личен виртуелен приватен мрежен сервис (VPN)
• На iPhone: овозможете Lockdown Mode, регистрирајте се во iCloud Private Relay и прегледајте и ограничете ги дозволите за чувствителни апликации
• На Android телефони: изберете производители со силна безбедносна репутација, користете Rich Communication Services (RCS) само ако е овозможено E2EE, вклучете Enhanced Protection за Safe Browsing во Chrome, осигурајте дека Google Play Protect е вклучен, и ревизирајте и ограничете ги дозволите за апликациите

Извори:

• The Hacker News – CISA Warns of Active Spyware Campaigns Hijacking High-Value Signal and WhatsApp Users SecurityWeek The Hacker News