Spywaregroepen richten zich meer op Signal en WhatsApp, stelt cyberwaakhond

In een onlangs verschenen waarschuwing van de Cybersecurity & Infrastructure Security Agency (CISA) stelt de organisatie een aanzienlijke en zorgwekkende toename van spyware in berichtenapps te zien. De aanvallers richten zich met name op zogenoemde ‘high‑value’ doelwitten, maar zijn er ook niet vies van om spyware te installeren en pas daarna te kijken bij wie het gedaan is.

Spyware is een opstap naar erger

CISA geeft aan dat de doelwitten vooral onder de huidige en voormalige topfunctionarissen, militairen en politici te vinden zijn. Ook zouden leden van maatschappelijke organisaties in de VS, het Midden-Oosten en Europa bespioneerd kunnen worden met de software.

De Agency stelt dat meerdere dreigingsactoren actief commerciële spyware benutten om ongeautoriseerde toegang tot berichtenapps te krijgen. Het merkt op dat de aanvallers meer tools inzetten, zoals een mix van sociale misleiding, app‑imitaties en het uitbuiten van mobiele kwetsbaarheden, om binnen te komen. Daarnaast waarschuwt CISA dat spyware vaak slechts de eerste stap is tot erger. 

Met een omweg

Het opmerkelijke aan de manier van werken van de aanvallers, is dat ze de versleuteling in berichtenapps niet proberen te kraken, maar er omheen werken. Aanvallers gebruiken phishing, gemanipuleerde QR‑codes en kwaadaardige app‑imitaties. In sommige gevallen zetten zij zero‑click‑exploits in. Dat zijn kwetsbaarheden die misbruik mogelijk maken zonder dat de gebruiker iets hoeft te doen. Vaak wordt eerst spyware geplaatst om vervolgens extra schadelijke software binnen te krijgen.

CISA beschrijft meerdere voorbeelden waarbij functies van apps zelf worden misbruikt. Zo werd er in februari bekend dat Rusland‑gelieerde groepen als Sandworm en Turla probeerden mee te lezen met Signal‑gesprekken via de functie ‘gelinkte apparaten’. Door slachtoffers een gemanipuleerde QR‑code te laten scannen, kon een tweede toestel worden gekoppeld. Nieuwe berichten kwamen daarna gelijktijdig binnen op het toestel van de gebruiker en het apparaat van de aanvaller.

Een andere campagne is gericht op Android‑toestellen van Samsung waarin spyware met de naam LANDFALL werd afgeleverd op Galaxy‑apparaten. Daarbij werd een Samsung‑kwetsbaarheid gecombineerd met een zero‑click‑lek in WhatsApp. Een kwaadwillende afbeelding in de inbox was voldoende om het toestel bij ontvangst zelf te laten compromitteren.

Fake it till you make it

Niet elke operatie steunt op technische exploits. CISA wijst op campagnes zoals ProSpy en ToSpy, die succes boekten door te doen alsof zij vertrouwde apps waren, waaronder Signal en TikTok. Na installatie verzamelden deze toepassingen chatgegevens, opnames en bestanden. Onderzoekers van Zimperium identificeerden daarnaast ClayRat, een Android‑spywarefamilie die via nagemaakte Telegram‑kanalen en phishingsites werd verspreid, vermomd als WhatsApp, TikTok of YouTube.

De waarschuwing komt in een periode van verhoogde aandacht voor commerciële spywareleveranciers. De Verenigde Staten legden NSO Group eerder beperkingen op rond het gericht aanvallen van WhatsApp‑gebruikers met Pegasus. Dit jaar verbood het Huis van Afgevaardigden WhatsApp op werktoestellen van medewerkers na een reeks beveiligingszorgen