A U.S. Cybersecurity and Infrastructure Security Agency (CISA) átfogó figyelmeztetést adott ki egyre agresszívebb kémprogram-kampányokról, amelyek titkosított üzenetküldő alkalmazások – köztük a Signal, a Telegram és a WhatsApp – felhasználóit célozzák.
A hatóság szerint ez az egyik legkitartóbb és legkifinomultabb kísérlet az elmúlt években, amelynek célja a biztonságos mobilkommunikáció aláásása.
Az ügynökség szerint állami hátterű csoportok és kereskedelmi megfigyelőcégek egyre inkább mobilkészülék-sebezhetőségeket használnak ki, nem pedig hálózati lehallgatásra törekednek. A támadók nem a titkosítást törik fel, hanem magát az eszközt kompromittálják, így a kommunikációt titkosítás előtt vagy közvetlenül visszafejtés után tudják megszerezni.
A CISA figyelmeztet, hogy a támadók kereskedelmi kémprogramokat, távoli hozzáférésű trójaiakat (RAT-eket) és kifinomult adathalász-technikákat kombinálnak annak érdekében, hogy tartós hozzáférést, fiókátvételt és teljes készülékkompromittálást érjenek el.
A figyelmeztetés olyan kutatásokra épül, amelyekben a Google TAG, a Citizen Lab, a Microsoft Threat Intelligence és független digitális kriminalisztikai elemzők jelentős növekedést tapasztaltak kifejezetten mobilos kémkedési kampányokban, főként diplomaták, újságírók, aktivisták, kormányzati tisztviselők és kritikus infrastruktúrában dolgozó vezetők ellen.
Hogyan veszik át a támadók az irányítást a titkosított üzenetküldők felett?
Signal – „Linked Devices” funkció visszaélése
Orosz hátterű támadók rendszeresen kihasználták a Signal eszköz-összekapcsolási funkcióját, hogy titokban új eszközt kapcsoljanak egy célpont fiókjához.
A módszerek:
- fizikai eszközhozzáférés
- QR-kód manipuláció
- adathalász oldalak, amelyek a Signal párosítási felületét utánozzák
Hamis alkalmazások a Közel-Keleten
A ProSpy és ToSpy nevű Android-kémprogramok eredetinek tűnő Signal- vagy ToTok-alkalmazásnak álcázzák magukat.
Telepítés után:
- adatokat gyűjtenek,
- mikrofont aktiválnak,
- újraindítás után is megmaradó tartós hozzáférést biztosítanak.
A régióban ez a módszer legalább öt éve bevett gyakorlat.
Hamis WhatsApp, TikTok és YouTube alkalmazások
A ClayRat kampány orosz felhasználókat céloz Telegram-csatornákon terjesztett hamis alkalmazásokkal.
Mobil sebezhetőségek kihasználása: iOS, WhatsApp, Samsung
Külön kampányban a támadók a következő, nemrég felfedezett hibákat láncolták össze:
- CVE-2025-43300 – iOS
- CVE-2025-55177 – WhatsApp
Kevesebb mint 200 magas értékű célpontot érintett a támadás, amely feltételezhetően zero-click jellegű – vagyis a fertőzéshez a felhasználónak semmit nem kellett megnyitnia.
A CISA megismételte a figyelmeztetést a Samsungot érintő CVE-2025-21042 sérülékenység kapcsán, amelyet a LANDFALL kódnevű kémprogram terjesztésére használtak.
A célpontok listája világpolitikai mintákat követ
A legtöbb áldozat a következő kategóriákba tartozik:
- kormányzati, katonai és hírszerzési tisztviselők
- politikai döntéshozók
- kritikus infrastruktúrák vezetői
- újságírók és emberi jogi aktivisták
Ez a minta összhangban áll a Citizen Lab korábbi felfedezéseivel, amelyek olyan kémprogramokat vizsgáltak, mint:
- Pegasus
- Predator
- REIGN
A kémprogram-ipar továbbra is népszerű az államok körében, akik „megtagadható”, gyorsan bevethető megfigyelő eszközökre vágynak.
Hogyan védekezhetnek a felhasználók?
(A CISA ajánlásai)
Magas kockázatú felhasználóknak:
- használjanak végponti titkosítást
- alkalmazzanak jelszókezelőt
- FIDO-kulcsos, adathalászással szemben ellenálló MFA-t
- kerüljék az SMS-alapú hitelesítést
- alkalmazzanak mobilszolgáltatói PIN-kódot
iPhone esetén
- Lockdown Mode bekapcsolása – kifejezetten fejlett kémprogramok ellen
Android esetén
- megbízható gyártótól vásárolt készülék
- Google Play Protect használata
- RCS csak titkosítva
- alkalmazásengedélyek rendszeres ellenőrzése
Meglepő ajánlás
A CISA nem javasolja személyes VPN-ek használatát, mert néhány szolgáltató a forgalmat kétes infrastruktúrán vezeti keresztül.
A CISA frissítette a Mobile Communications Best Practice Guidance anyagát.
Következtetés
A CISA figyelmeztetése világossá teszi: a kereskedelmi kémprogramok globális terjedése olyan fenyegetést hozott létre, amely ellen még jól felszerelt nemzetbiztonsági szervek is nehezen védekeznek.
Még a tökéletesen titkosított alkalmazások sem tudnak védeni, ha maga a készülék válik kompromittálttá.
A kérdés már nem az, hogy megtörik-e a titkosítást, hanem az, hogy:
meg lehet-e állítani a kémprogram-ipar kontrollálatlan növekedését?
A fenyegetés ma már aktív, globális és kifejezetten a stratégiai jelentőségű kommunikációra irányul.
