CISA alerta para nova geração de spyware que explora vulnerabilidade crítica em iOS, Android e WhatsApp

A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) emitiu, nesta segunda-feira, um alerta urgente sobre uma série de campanhas internacionais de spyware que estão sendo utilizadas por hackers para sequestrar contas de aplicativos de mensagens altamente populares, como Signal e WhatsApp.

Segundo a agência, os invasores estão explorando tanto ferramentas de espionagem comercial quanto trojans de acesso remoto (RATs) para comprometer dispositivos móveis de vítimas cuidadosamente selecionadas.

De acordo com o comunicado, esses hackers utilizam técnicas de engenharia social extremamente sofisticadas para forçar a instalação de spyware, abrindo caminho para acesso não autorizado às contas das vítimas e permitindo a implantação de cargas maliciosas adicionais capazes de comprometer por completo o dispositivo-alvo.

CISA destacou que diversas campanhas identificadas desde o início do ano demonstram uma escalada preocupante no uso de ferramentas avançadas para invadir plataformas de comunicação supostamente seguras.

Entre os casos citados estão ataques conduzidos por grupos hackers alinhados à Rússia, que exploram a funcionalidade de “dispositivos vinculados” do Signal para assumir o controle de contas de usuários.

Também foram observadas campanhas de spyware para Android — apelidadas de ProSpy e ToSpy — que se passam por aplicativos legítimos, como Signal e ToTok, para atingir usuários nos Emirados Árabes Unidos e estabelecer acesso persistente aos aparelhos.

Outra operação identificada envolve o spyware ClayRat, que tem como alvo usuários na Rússia utilizando canais no Telegram e páginas falsas que imitam apps populares, entre eles WhatsApp, Google Photos, TikTok e YouTube, induzindo a instalação de versões adulteradas para roubo de dados sensíveis.

Em paralelo, uma campanha altamente direcionada explorou vulnerabilidades recém-descobertas no iOS e no WhatsApp (CVE-2025-43300 e CVE-2025-55177) para atingir cerca de 200 usuários da plataforma.

Além disso, a exploração de uma falha da Samsung (CVE-2025-21042) viabilizou a distribuição do spyware LANDFALL, direcionado a dispositivos Galaxy em países do Oriente Médio. Segundo a CISA, os hackers estão explorando uma variedade de vetores, incluindo QR Codes de vinculação de dispositivos, exploits "zero-click" e versões adulteradas de aplicativos de mensagens.

Os alvos dessas campanhas são, majoritariamente, indivíduos de alto valor: autoridades atuais e ex-integrantes de governos, militares, figuras políticas, além de membros de organizações da sociedade civil nos Estados Unidos, no Oriente Médio e na Europa.

Para mitigar esse cenário, a CISA recomenda que usuários altamente visados adotem práticas rigorosas de segurança digital, como uso exclusivo de aplicativos com criptografia de ponta a ponta (E2EE), adoção de autenticação resistente a phishing via FIDO, abandono do SMS como método de MFA, utilização de gerenciadores de senhas e atualização frequente de software.

A agência também orienta medidas específicas para iOS e Android, como ativação do Lockdown Mode em iPhones e a verificação constante das permissões de aplicativos em ambos os sistemas operacionais.

Via - THN