Mục lục
Các hacker đang tìm cách vượt qua lớp mã hóa được sử dụng trong các ứng dụng nhắn tin bằng cách xâm nhập trực tiếp vào điện thoại và các tính năng tiện lợi như đăng nhập bằng mã QR. Chiến dịch tấn công mới nhất này đang nhắm mục tiêu vào các cá nhân có giá trị cao. Các cuộc tấn công đã đánh cắp dữ liệu thiết bị, tin nhắn văn bản, và thậm chí cả bản ghi âm giọng nói. Điều đáng lo ngại là các kỹ thuật này không yêu cầu người dùng tương tác (zero-click) và có thể ẩn mình trong nhiều năm. Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cảnh báo rằng hacker đang tích cực nhắm mục tiêu vào Signal, WhatsApp và các ứng dụng nhắn tin được mã hóa khác bằng phần mềm gián điệp thương mại, vốn khai thác các lỗ hổng cụ thể của điện thoại và tài khoản.
Hacker sử dụng Spyware thương mại nhắm mục tiêu cấp cao
Cảnh báo của CISA mô tả các nỗ lực lừa đảo (phishing), mạo danh ứng dụng và các khai thác zero-click nhắm vào những người dùng có giá trị cao, thường sử dụng các bộ công cụ thương mại có thể so sánh với những công cụ được các quốc gia sử dụng. CISA cho biết các mục tiêu bao gồm các quan chức chính phủ hiện tại và cựu quan chức, các nhân vật quân sự và chính trị, cùng các thành viên của các tổ chức xã hội dân sự tại Hoa Kỳ, Châu Âu và Trung Đông.
CISA: Hacker tấn công Signal, WhatsApp bằng Spyware Zero-Click
Những chiến dịch này sử dụng quyền truy cập ban đầu vào thiết bị làm điểm khởi đầu chứ không phải mục tiêu cuối cùng. Một khi đã xâm nhập vào điện thoại, phần mềm gián điệp hoạt động như một trình tải (loader), kéo thêm các tải trọng bổ sung, nâng cao đặc quyền truy cập, và duy trì quyền kiểm soát lâu dài đối với dữ liệu và hoạt động của nạn nhân. CISA đặt điều này trong bối cảnh một sự dịch chuyển rộng lớn hơn, trong đó các nhóm được nhà nước hậu thuẫn và các công ty đánh thuê mạng bán các công cụ nhằm vượt qua lớp phòng thủ mà người dùng kỳ vọng từ các hệ điều hành di động hiện đại và các ứng dụng mã hóa đầu cuối (end-to-end encrypted apps).
Kỹ thuật tấn công: Không phá mã hóa mà đọc tin nhắn trước hoặc sau
Cảnh báo của CISA lưu ý rằng các hacker có chung một cách tiếp cận cơ bản. Thay vì cố gắng phá vỡ mã hóa của các ứng dụng, chúng xâm phạm lớp ứng dụng hoặc hệ điều hành di động để đọc tin nhắn trước hoặc sau khi mã hóa. Các phương thức lây nhiễm điển hình bao gồm các liên kết lừa đảo, mã QR độc hại và các ứng dụng giả mạo (trojanized apps), thường được kết hợp với các khai thác zero-click (kích hoạt mà không cần tương tác) để thực hiện hành vi độc hại.
Một khi được cài đặt, phần mềm gián điệp có thể truy cập lịch sử trò chuyện và tin nhắn trực tiếp, thu thập bản ghi âm và tệp tin, và trong một số trường hợp, biến điện thoại thành một thiết bị giám sát chung, thu thập dữ liệu vị trí, nhật ký cuộc gọi, danh bạ và các tài liệu khác. Một kỹ thuật mà CISA mô tả liên quan đến việc lạm dụng tính năng liên kết thiết bị và xác thực dựa trên mã QR mà các ứng dụng nhắn tin sử dụng để đăng nhập vào nhiều thiết bị.
Bằng cách gửi mã QR đã bị chỉnh sửa (doctored QR codes) mô phỏng một bước đăng nhập hoặc liên kết tiêu chuẩn, kẻ tấn công có thể buộc điện thoại ghép nối với các hệ thống mà chúng kiểm soát. Sự ghép nối này cho phép kẻ tấn công thêm thiết bị của chúng như một điểm cuối được ủy quyền trên tài khoản của nạn nhân, âm thầm sao chép các tin nhắn mới mà không phá vỡ mã hóa cơ bản hoặc chiếm quyền kiểm soát tài khoản một cách rõ ràng.
Mạo danh ứng dụng và rủi ro Zero-Click
Các hoạt động tương tự cũng dựa vào lừa đảo và cài đặt các bản cập nhật giả mạo hoặc các bản sao của các ứng dụng và dịch vụ đáng tin cậy. Hacker phân phối các ứng dụng độc hại của chúng thông qua các liên kết, các trang web sao chép và các cửa hàng không chính thức, sử dụng thương hiệu và giao diện quen thuộc để trông có vẻ hợp pháp.
Các ứng dụng mạo danh hoạt động như công cụ giám sát, phơi bày dữ liệu nhắn tin, bản ghi âm micro, tệp tin đã lưu, ảnh và thông tin hệ thống, giúp các nhà điều hành theo dõi và lập hồ sơ người dùng. CISA cũng nhấn mạnh các lỗ hổng zero-click. Kẻ tấn công có thể chạy mã tùy ý bằng cách sử dụng các tin nhắn hoặc phương tiện độc hại được chế tạo cẩn thận, khai thác lỗi phân tích cú pháp (parsing bugs) trong nhiều ứng dụng khác nhau hoặc hệ điều hành của thiết bị. Phần mềm độc hại hoạt động ẩn trong nền mà không cần tương tác của người dùng, vì vậy sự xâm nhập cực kỳ khó bị phát hiện, khiến nó rất phù hợp cho việc giám sát im lặng, dài hạn các mục tiêu cấp cao.