CISA cảnh báo về các chiến dịch phần mềm gián điệp đang hoạt động nhắm vào người dùng Signal và WhatsApp giá trị cao
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo về việc các tác nhân xấu đang tích cực khai thác phần mềm gián điệp thương mại và trojan truy cập từ xa (RAT) để nhắm mục tiêu vào người dùng các ứng dụng nhắn tin di động.
“Các tác nhân mạng này sử dụng các kỹ thuật nhắm mục tiêu và kỹ thuật xã hội tinh vi để phân phối phần mềm gián điệp và giành quyền truy cập trái phép vào ứng dụng nhắn tin của nạn nhân, tạo điều kiện cho việc triển khai các tải trọng độc hại bổ sung có thể xâm phạm thêm thiết bị di động của nạn nhân”, cơ quan này cho biết.
CISA đã trích dẫn một số ví dụ về các chiến dịch đã được đưa ra ánh sáng kể từ đầu năm. Một số trong số đó bao gồm:
- Việc nhắm mục tiêu vào ứng dụng nhắn tin Signal bởi nhiều tác nhân đe dọa liên kết với Nga bằng cách tận dụng tính năng “thiết bị được liên kết” của dịch vụ để chiếm đoạt tài khoản người dùng mục tiêu
- Các chiến dịch phần mềm gián điệp Android có tên mã ProSpy và ToSpy mạo danh các ứng dụng như Signal và ToTok để nhắm mục tiêu đến người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất để phân phối phần mềm độc hại thiết lập quyền truy cập liên tục vào các thiết bị Android bị xâm phạm và trích xuất dữ liệu
- Một chiến dịch phần mềm gián điệp Android có tên ClayRat đã nhắm mục tiêu đến người dùng ở Nga bằng các kênh Telegram và các trang phishing giống nhau bằng cách mạo danh các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube để lừa người dùng cài đặt chúng và đánh cắp dữ liệu nhạy cảm
- Một chiến dịch tấn công có chủ đích có khả năng đã xâu chuỗi hai lỗ hổng bảo mật trong iOS và WhatsApp (CVE-2025-43300 và CVE-2025-55177) để nhắm mục tiêu đến ít hơn 200 người dùng WhatsApp
- Một chiến dịch tấn công có chủ đích liên quan đến việc khai thác lỗ hổng bảo mật của Samsung (CVE-2025-21042) để phân phối phần mềm gián điệp Android có tên LANDFALL cho các thiết bị Galaxy ở Trung Đông
Cơ quan này cho biết các tác nhân đe dọa sử dụng nhiều chiến thuật để đạt được sự xâm phạm, bao gồm mã QR liên kết thiết bị, khai thác zero-click và phân phối các phiên bản giả mạo của ứng dụng nhắn tin.
CISA cũng chỉ ra rằng các hoạt động này tập trung vào các cá nhân có giá trị cao, chủ yếu là các quan chức chính phủ, quân sự và chính trị cấp cao hiện tại và trước đây, cùng với các tổ chức xã hội dân sự và các cá nhân trên khắp Hoa Kỳ, Trung Đông và Châu Âu.
Để chống lại mối đe dọa, cơ quan này đang thúc giục các cá nhân có mục tiêu cao xem xét và tuân thủ các phương pháp hay nhất sau đây:
- Chỉ sử dụng các giao tiếp được mã hóa đầu cuối (E2EE)
- Bật xác thực chống phishing Fast Identity Online (FIDO)
- Chuyển khỏi xác thực đa yếu tố (MFA) dựa trên Dịch vụ tin nhắn ngắn (SMS)
- Sử dụng trình quản lý mật khẩu để lưu trữ tất cả mật khẩu
- Đặt mã PIN nhà cung cấp dịch vụ viễn thông để bảo mật tài khoản điện thoại di động
- Định kỳ cập nhật phần mềm
- Chọn phiên bản phần cứng mới nhất từ nhà sản xuất điện thoại di động để tối đa hóa lợi ích bảo mật
- Không sử dụng mạng riêng ảo (VPN) cá nhân
- Trên iPhone, hãy bật Chế độ khóa, đăng ký iCloud Private Relay và xem xét và hạn chế quyền ứng dụng nhạy cảm
- Trên điện thoại Android, hãy chọn điện thoại từ các nhà sản xuất có thành tích bảo mật mạnh mẽ, chỉ sử dụng Dịch vụ liên lạc phong phú (RCS) nếu bật E2EE, bật Bảo vệ nâng cao để duyệt web an toàn trong Chrome, đảm bảo Google Play Protect được bật và kiểm tra và giới hạn quyền ứng dụng
Giải thích thuật ngữ:
* Phần mềm gián điệp (Spyware): Loại phần mềm bí mật thu thập thông tin về hoạt động của người dùng trên máy tính hoặc thiết bị di động và gửi nó cho bên thứ ba mà không có sự đồng ý của họ.
* Trojan truy cập từ xa (RAT): Một loại phần mềm độc hại cho phép kẻ tấn công kiểm soát máy tính từ xa, thường được sử dụng để đánh cắp dữ liệu hoặc thực hiện các hành động độc hại khác.
* Kỹ thuật xã hội (Social engineering): Phương pháp tấn công dựa trên việc thao túng tâm lý con người để lừa họ cung cấp thông tin nhạy cảm hoặc thực hiện các hành động có lợi cho kẻ tấn công.
* Phishing: Một hình thức tấn công trực tuyến, trong đó kẻ tấn công giả mạo thành một tổ chức hoặc cá nhân đáng tin cậy để lừa người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu hoặc thông tin tài chính.
* Mã hóa đầu cuối (E2EE): Một phương pháp mã hóa dữ liệu sao cho chỉ người gửi và người nhận mới có thể đọc được nội dung, ngăn chặn bất kỳ ai khác, kể cả nhà cung cấp dịch vụ, truy cập vào thông tin.
* Xác thực đa yếu tố (MFA): Phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác thực để chứng minh danh tính của họ, chẳng hạn như mật khẩu và mã được gửi đến điện thoại di động.
* Mạng riêng ảo (VPN): Một mạng riêng được xây dựng trên cơ sở hạ tầng mạng công cộng, chẳng hạn như Internet, để cung cấp kết nối an toàn và riêng tư giữa các thiết bị.
