Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Hai đã đưa ra cảnh báo về việc các tác nhân độc hại đang tích cực lợi dụng spyware thương mại và trojan truy cập từ xa (RATs) để nhắm mục tiêu vào người dùng các ứng dụng nhắn tin di động.
"Các tác nhân mạng này sử dụng các kỹ thuật nhắm mục tiêu và social engineering tinh vi để phân phối spyware và giành quyền truy cập trái phép vào ứng dụng nhắn tin của nạn nhân, tạo điều kiện triển khai các payload độc hại bổ sung có thể xâm phạm thêm thiết bị di động của nạn nhân," CISA cho biết.
Các Chiến Dịch Đáng Chú Ý
CISA đã trích dẫn nhiều chiến dịch đã được phát hiện kể từ đầu năm làm ví dụ. Một số trong số đó bao gồm:
- Nhắm mục tiêu vào ứng dụng nhắn tin Signal bởi nhiều tác nhân đe dọa liên kết với Nga bằng cách lợi dụng tính năng "thiết bị được liên kết" của dịch vụ để chiếm đoạt tài khoản người dùng mục tiêu.
- Các chiến dịch spyware Android có tên mã ProSpy và ToSpy mạo danh các ứng dụng như Signal và ToTok để nhắm mục tiêu vào người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất nhằm phân phối phần mềm độc hại thiết lập quyền truy cập liên tục vào các thiết bị Android bị xâm nhập và đánh cắp dữ liệu.
- Một chiến dịch spyware Android có tên ClayRat đã nhắm mục tiêu vào người dùng ở Nga thông qua các kênh Telegram và các trang phishing giả mạo bằng cách mạo danh các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube để lừa người dùng cài đặt chúng và đánh cắp dữ liệu nhạy cảm.
- Một chiến dịch tấn công có chủ đích có khả năng đã kết hợp hai lỗ hổng bảo mật trong iOS và WhatsApp (CVE-2025-43300 và CVE-2025-55177) để nhắm mục tiêu vào dưới 200 người dùng WhatsApp.
- Một chiến dịch tấn công có chủ đích liên quan đến việc khai thác một lỗ hổng bảo mật của Samsung (CVE-2025-21042) để phân phối một loại spyware Android có tên LANDFALL tới các thiết bị Galaxy ở Trung Đông.
Cơ quan này cho biết các tác nhân đe dọa sử dụng nhiều chiến thuật để đạt được sự xâm nhập, bao gồm mã QR liên kết thiết bị, các zero-click exploits và phân phối các phiên bản giả mạo của ứng dụng nhắn tin.
CISA cũng chỉ ra rằng các hoạt động này tập trung vào các cá nhân có giá trị cao, chủ yếu là các quan chức chính phủ, quân sự và chính trị cấp cao hiện tại và cựu, cùng với các tổ chức xã hội dân sự và cá nhân trên khắp Hoa Kỳ, Trung Đông và Châu Âu.
Các Biện Pháp Bảo Vệ Được CISA Khuyến Nghị
Để chống lại mối đe dọa này, CISA đang kêu gọi các cá nhân bị nhắm mục tiêu cao xem xét và tuân thủ các biện pháp thực hành tốt nhất sau đây:
- Chỉ sử dụng các phương thức liên lạc được mã hóa end-to-end (E2EE).
- Bật xác thực chống phishing Fast Identity Online (FIDO).
- Tránh xa xác thực đa yếu tố (MFA) dựa trên Short Message Service (SMS).
- Sử dụng trình quản lý mật khẩu để lưu trữ tất cả các mật khẩu.
- Thiết lập PIN của nhà cung cấp viễn thông để bảo mật tài khoản điện thoại di động.
- Cập nhật phần mềm định kỳ.
- Chọn phiên bản phần cứng mới nhất từ nhà sản xuất điện thoại di động để tối đa hóa lợi ích bảo mật.
- Không sử dụng Virtual Private Network (VPN) cá nhân.
- Trên iPhone, hãy bật Lockdown Mode, đăng ký iCloud Private Relay và xem xét, hạn chế quyền truy cập ứng dụng nhạy cảm.
- Trên điện thoại Android, hãy chọn điện thoại từ các nhà sản xuất có lịch sử bảo mật tốt, chỉ sử dụng Rich Communication Services (RCS) nếu E2EE được bật, bật Bảo vệ nâng cao cho Duyệt web an toàn trong Chrome, đảm bảo Google Play Protect được bật, đồng thời kiểm tra và giới hạn quyền ứng dụng.
