De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag een waarschuwing afgegeven voor kwaadwillenden die actief gebruik maken van commerciĆ«le spyware en trojans voor externe toegang (RAT’s) om gebruikers van mobiele berichtentoepassingen aan te vallen.
“Deze cyberactoren gebruiken geavanceerde targeting- en social engineering-technieken om spyware te verspreiden en ongeoorloofde toegang te verkrijgen tot de berichten-app van een slachtoffer, waardoor de inzet van extra kwaadaardige ladingen wordt vergemakkelijkt die het mobiele apparaat van het slachtoffer verder kunnen compromitteren”, aldus de dienst.
CISA noemde als voorbeeld meerdere campagnes die sinds het begin van het jaar aan het licht zijn gekomen. Sommigen van hen omvatten –
- Het aanvallen van de Signal-berichtenapp door meerdere aan Rusland verbonden bedreigingsactoren door gebruik te maken van de functie ‘gekoppelde apparaten’ van de dienst om doelgebruikersaccounts te kapen
- Android-spywarecampagnes met de codenaam ProSpy en ToSpy die apps als Signal en ToTok nabootsen en zich richten op gebruikers in de Verenigde Arabische Emiraten om malware te leveren die permanente toegang tot gecompromitteerde Android-apparaten tot stand brengt en gegevens exfiltreert
- Een Android-spywarecampagne genaamd ClayRat heeft gebruikers in Rusland getarget met behulp van Telegram-kanalen en vergelijkbare phishing-pagina’s door zich voor te doen als populaire apps zoals WhatsApp, Google Photos, TikTok en YouTube om gebruikers te misleiden om deze te installeren en gevoelige gegevens te stelen.
- Een gerichte aanvalscampagne die waarschijnlijk twee beveiligingsfouten in iOS en WhatsApp (CVE-2025-43300 en CVE-2025-55177) aan elkaar koppelde en zich richtte op minder dan 200 WhatsApp-gebruikers
- Een gerichte aanvalscampagne waarbij gebruik werd gemaakt van een beveiligingsfout van Samsung (CVE-2025-21042) om Android-spyware met de naam LANDFALL te leveren aan Galaxy-apparaten in het Midden-Oosten
Het bureau zei dat de bedreigingsactoren meerdere tactieken gebruiken om compromissen te sluiten, waaronder het koppelen van QR-codes aan apparaten, zero-click-exploits en het verspreiden van vervalste versies van berichten-apps.
CISA wees er ook op dat deze activiteiten zich richten op individuen van hoge waarde, voornamelijk huidige en voormalige hoge regerings-, militaire en politieke functionarissen, samen met maatschappelijke organisaties en individuen in de Verenigde Staten, het Midden-Oosten en Europa.
Om de dreiging tegen te gaan, dringt het agentschap er bij zeer doelgerichte personen op aan om de volgende best practices te herzien en na te leven:
- Gebruik alleen end-to-end gecodeerde (E2EE) communicatie
- Schakel Fast Identity Online (FIDO) phishing-bestendige authenticatie in
- Stap af van op Short Message Service (SMS) gebaseerde multi-factor authenticatie (MFA)
- Gebruik een wachtwoordbeheerder om alle wachtwoorden op te slaan
- Stel de pincode van een telecommunicatieprovider in om mobiele-telefoonaccounts te beveiligen
- Update de software regelmatig
- Kies voor de nieuwste hardwareversie van de fabrikant van de mobiele telefoon om de beveiligingsvoordelen te maximaliseren
- Gebruik geen persoonlijk virtueel particulier netwerk (VPN)
- Schakel op iPhones de Lockdown-modus in, schrijf u in voor iCloud Private Relay en bekijk en beperk gevoelige app-machtigingen
- Kies op Android-telefoons telefoons van fabrikanten met een sterke staat van dienst op het gebied van beveiliging, gebruik alleen Rich Communication Services (RCS) als E2EE is ingeschakeld, schakel Verbeterde bescherming voor Safe Browsing in Chrome in, zorg ervoor dat Google Play Protect is ingeschakeld en controleer en beperk app-machtigingen
