Novo alerta da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que adverte sobre campanhas de spyware comercial visando aplicativos de mensagens criptografadas como Signal e WhatsApp, comprometendo o dispositivo móvel em vez de quebrar a criptografia.
Hackers não estão rompendo a criptografia dos aplicativos de mensagens, mas explorando vulnerabilidades no próprio telefone e recursos de conveniência, como os logins baseados em QR Code, para acessar os dados.
A campanha mais recente ataca alvos de alto valor, obtendo informações como dados do dispositivo, mensagens de texto e gravações de áudio. As técnicas empregadas muitas vezes não exigem interação do usuário (zero-click exploits) e podem permanecer ocultas por longos períodos.
O alerta descreve o uso de spyware comercial que explora vulnerabilidades específicas em telefones e contas. Os métodos de ataque incluem tentativas de phishing, a personificação de aplicativos e exploits sem interação, frequentemente utilizando ferramentas comparáveis às empregadas por nações.
A CISA indica que os alvos são figuras de alto escalão, incluindo atuais e ex-funcionários governamentais, militares, políticos e membros de organizações da sociedade civil nos Estados Unidos, Europa e Oriente Médio.
Nestes ataques, o acesso inicial ao dispositivo é apenas um ponto de partida. Uma vez instalado, o spyware funciona como um carregador, baixando payloads adicionais, elevando privilégios e mantendo o controle prolongado sobre as atividades e dados da vítima.
Isso se encaixa em uma mudança de abordagem em que grupos apoiados por estados e empresas cibernéticas vendem ferramentas destinadas a contornar as proteções esperadas dos sistemas operacionais móveis modernos e dos aplicativos com criptografia de ponta a ponta.
A abordagem fundamental dos atacantes é a mesma: comprometer a camada do aplicativo ou o sistema operacional móvel para ler as mensagens antes ou depois da criptografia, em vez de tentar quebrar o mecanismo de criptografia.
Os métodos de entrega típicos envolvem links de phishing, QR Codes maliciosos e aplicativos trojanizados, frequentemente combinados com exploits zero-click.
O spyware pode acessar o histórico de conversas e mensagens ao vivo, capturar gravações e arquivos e, em certos casos, transformar o telefone em um dispositivo de vigilância geral, coletando dados de localização, registros de chamadas, contatos e outros documentos.
Uma técnica específica descrita pela CISA explora a autenticação baseada em QR Code e o recurso de vínculo de dispositivos usado pelos aplicativos de mensagens. Ao enviar QR Codes adulterados que simulam uma etapa de login ou vínculo padrão, os atacantes podem forçar o telefone a parear com sistemas sob seu controle.
Este pareamento permite que os atacantes adicionem seu dispositivo como um ponto de acesso autorizado na conta da vítima, copiando novas mensagens de forma silenciosa, sem quebrar a criptografia subjacente ou tomar conta da conta de forma perceptível.
Essas operações dependem de phishing e da instalação de atualizações falsas ou clones de aplicativos e serviços confiáveis. Os hackers distribuem seus aplicativos maliciosos por meio de links, websites falsos e lojas não oficiais que usam marcas e interfaces familiares para parecerem legítimos.