Barracuda full logo

Desvio da mensagem: CISA alerta para ataques sofisticados de spyware

Tópicos:
30 dez. 2025
|
Doug Bonderud

Como os atacantes contornam as aplicações de mensagens encriptadas com engenharia social e spyware comercial

Principais conclusões

  • Os atacantes utilizam cada vez mais a engenharia social e spyware comercial para contornar as defesas das aplicações de mensagens encriptadas e escutar comunicações sensíveis.
  • Novas ameaças, como ataques de retransmissão NFC, permitem que os cibercriminosos se apoderem de transações móveis e comprometam a segurança do dispositivo à distância.
  • As organizações devem implementar mensagens de confiança zero, evitar a autenticação baseada em SMS e usar medidas adicionais de segurança de conta para se proteger contra estes ataques avançados.

 

Ferramentas de mensagens móveis encriptadas permitem a partilha segura de dados para agências governamentais e empresas privadas. Em vez de tentar quebrar essas defesas digitais, no entanto, os atacantes encontraram uma forma de as contornar: engenharia social direcionada combinada com spyware comercial.

De acordo com um alerta recente da Cybersecurity and Infrastructure Security Agency (CISA), criminosos estão a usar códigos QR maliciosos, exploits de zero-click e imitação de aplicações para aceder a plataformas de mensagens seguras e roubar dados protegidos.

Espiões no prémio

Conforme observado pelo alerta da CISA, os atacantes não estão a tentar ganhar controlo de aplicações seguras como o Signal e o WhatsApp. Em vez disso, eles querem acompanhar e escutar conversas críticas. A pesquisa sugere que os principais alvos incluem governamentais, militares e políticos atuais e antigos, juntamente com indivíduos de alto valor nos Estados Unidos, Europa e no Médio Oriente.

Faz sentido: Espiar mensagens militares ou escutar comunicações de serviços civis pode fornecer dados valiosos para agências de reconhecimento de estados-nação ou um ganho substancial para atores maliciosos.

Para aceder a aplicações de mensagens seguras, os atacantes utilizam táticas como:

Phishing + códigos QR

Os atacantes criam campanhas de phishing direcionadas que convencem os utilizadores a clicar em links maliciosos ou a digitalizar códigos QR. Estes códigos comprometem tanto as contas dos utilizadores como os ligam a dispositivos pertencentes aos atacantes. O resultado? Os cibercriminosos podem rastrear e monitorizar todas as conversas em aplicações de mensagens seguras e utilizar o acesso aos dispositivos para instalar malware, ransomware ou ameaças persistentes avançadas (APTs).

Explorações de zero cliques

O phishing e métodos de ataque semelhantes dependem da ação do utilizador — as vítimas devem clicar num link, digitalizar um código ou enviar uma mensagem. Os exploits zero-click, por outro lado, ocorrem automaticamente assim que condições específicas são atendidas. Considere o LANDFALL spyware, que aproveita uma vulnerabilidade zero-day na biblioteca de processamento de imagens do Android da Samsung.

Aqui está como funciona: Os atacantes enviam uma imagem Digital Negative (DNG) malformada com um arquivo ZIP incorporado via WhatsApp. Uma vez recebida, a imagem é enviada e processada sem qualquer intervenção dos utilizadores, levando à instalação de spyware de nível comercial no dispositivo.

Imitação de aplicação

Os atacantes também estão a usar as próprias aplicações para infectar dispositivos com spyware. Um exemplo é ClayRat, que utiliza tanto o próprio Telegram como websites aparentemente legítimos para oferecer "atualizações" ou patches de aplicações, que na realidade são cargas úteis de spyware. Usando o gestor de SMS padrão no Android OS, o ClayRat ganha acesso a SMS, registos de chamadas e notificações, e pode também executar comandos remotos para tirar fotografias, fazer chamadas, enviar mensagens SMS em massa e exfiltrar dados.

Uma vez que os atores maliciosos obtêm acesso a aplicações seguras, eles utilizam spyware comercial para intercetar conversas. A disponibilidade generalizada deste spyware é desafiante. Embora o Tesouro dos EUA tenha imposto sanções a alguns fabricantes de spyware, e empresas como o WhatsApp tenham intentado ações judiciais contra criadores de spyware, o mercado é simplesmente demasiado grande para ser controlado.

Navegar nas novas ameaças NFC

O aumento das infeções por spyware comercial também criou ameaças de "toque e roubo" ligadas à comunicação de proximidade (NFC).

Primeiro, os atacantes infetam os dispositivos alvo e recolhem dados chave. Usando esta informação, eles implementam malware que passa despercebido pelos radares de defesa e permite a instalação de malware que visa sistemas operativos móveis e permissões de aplicações.

Do ponto de vista do utilizador, as compras por NFC parecem normais: Tocam, pagam e seguem o seu dia. Na realidade, o malware instalado sequestrou a transação ao permitir que o chip NFC instalado atue como uma extremidade de um relé. A outra extremidade é um segundo dispositivo controlado por atacantes localizado a quilómetros de distância. Isto permite que os criminosos cibernéticos contornem o principal benefício defensivo do NFC: Distância.

Normalmente, as transações NFC estão limitadas a 10 cm ou menos. Ao transformar os dispositivos dos utilizadores num relé, os atacantes eliminam este controlo de segurança sem acionar ações defensivas. Para os CIOs e CISOs encarregados de gerir frotas de dispositivos móveis, isto cria uma dupla dificuldade: mensagens sequestradas emparelhadas com compras fraudulentas que são difíceis de rastrear e ainda mais difíceis de parar.

Gerir mensagens mistas

Para redes corporativas, estes ataques de spyware representam uma ameaça silenciosa, mas persistente. Se os atacantes conseguirem aceder a aplicações de mensagens seguras ou comprometer redes NFC, as empresas podem ver dados de IP roubados ou dinheiro movimentado de forma fraudulenta.

Para ajudar a gerir mensagens mistas, o CISA Mobile Communications Best Practice Guidance recomenda ações como:

Adotando uma abordagem de mensagens de zero confiança

Embora as orientações da CISA sugiram o uso de serviços de mensagens encriptadas, também alertam contra a confiança implícita nestas aplicações. Para evitar potenciais compromissos, os utilizadores devem verificar a autenticidade de quaisquer convites de grupo, manter-se desconfiados de quaisquer mensagens de alerta de segurança inesperadas e reportar toda a atividade suspeita através dos canais de suporte da aplicação.

Afastando-se do SMS

A orientação também recomenda afastar-se do SMS, especialmente para autenticação de vários vetores. Como o SMS não é encriptado, mensagens de MFA podem ser lidas por atacantes, que por sua vez podem usar códigos de uso único para aceder a dispositivos e instalar spyware.

Defina um pin Telco

Conforme observado pela CISA, muitos provedores de telecomunicações permitem que os administradores definam PINs ou códigos de acesso adicionais para contas de telemóveis, que devem ser fornecidos antes que os utilizadores possam realizar ações sensíveis, como instalar novo software ou portar um número de telefone.

Resultado final? As aplicações de mensagens encriptadas são eficazes apenas se as empresas souberem exatamente quem está a ouvir. Com o aumento de spyware sofisticado e ataques NFC, as empresas precisam de priorizar operações de confiança zero que reduzam a dependência de SMS e exijam verificação adicional para autorizar ações críticas.

 

Doug Bonderud

Doug Bonderud é um escritor premiado com talento para fazer a ponte entre o complexo e o conversacional em tecnologia, inovação e a condição humana.

Artigos Relacionados:
Relatório do Google: Mais vulnerabilidades de zero-day a impactar empresas
Relatório do Google: Mais vulnerabilidades de zero-day a impactar empresas
 O ataque ao Notepad++ e os novos riscos da cadeia de abastecimento
O ataque ao Notepad++ e os novos riscos da cadeia de abastecimento
 Sandworm: A equipa russa de destruição de infraestrutura global
Sandworm: A equipa russa de destruição de infraestrutura global
 Tecnologia automóvel: Uma vasta nova superfície de ataque cibernético
Tecnologia automóvel: Uma vasta nova superfície de ataque cibernético
Pesquisar o blogue

O Relatório de Invasão de Segurança de E-mail de 2025

Principais conclusões sobre a experiência e o impacto das violações de segurança de e-mail em organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Relatório de Insights do Cliente MSP 2025

Uma visão global sobre o que as organizações precisam e desejam dos seus provedores de serviços geridos de cibersegurança

Obtenha o relatório

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.