CISA ostrzega: aktywne kampanie szpiegowskie przejmują konta w Signal i WhatsApp. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA wydała 24 listopada 2025 r. alert ostrzegający przed aktywnym wykorzystaniem komercyjnego spyware oraz RAT-ów do przejmowania komunikatorów mobilnych, w szczególności Signal i WhatsApp. Napastnicy używają socjotechniki, złośliwych kodów QR do „połączonych urządzeń”, fałszywych aplikacji oraz – w wybranych przypadkach – łańcuchów zero-click. Celem są osoby o wysokiej wartości wywiadowczej w USA, Europie i na Bliskim Wschodzie.

W skrócie

• Techniki: phishing/QR do funkcji „Połączone urządzenia” w Signal, fałszywe aplikacje udające Signal/ToTok/WhatsApp, zero-click przez spreparowane obrazy (DNG) w komunikatorach.
• Kampanie:
  • ProSpy/ToSpy – szkodliwe APK podszywające się pod Signal/ToTok, kradnące SMS-y, kontakty, pliki i backupy czatów.
  • ClayRat – spyware dystrybuowany z Telegrama i stron-klonów, rozprzestrzeniający się poprzez wiadomości SMS do kontaktów ofiary.
  • LANDFALL – komercyjnej klasy spyware na Androida, wykorzystywał zero-day CVE-2025-21042 w bibliotekach Samsunga i był dostarczany złośliwymi obrazami DNG (prawdopodobnie przez WhatsApp).
• Kogo celują: wysocy urzędnicy, wojskowi, politycy, dziennikarze, NGO, działacze społeczni.
• Co robić teraz (TL;DR): klucze FIDO2, rezygnacja z SMS-MFA, przegląd „połączonych urządzeń”, aktualizacje, Play Protect/Enhanced Protection, ograniczenie uprawnień aplikacji, Lockdown Mode na iOS, weryfikacja źródeł APK.

Kontekst / historia / powiązania

W 2025 r. Google Threat Intelligence opisał kampanie grup powiązanych z Rosją, które nadużywały funkcji Linked Devices w Signal – ofiara była nakłaniana do zeskanowania złośliwego kodu QR, co dodawało urządzenie atakującego do jej konta i pozwalało czytać zaszyfrowane rozmowy w czasie rzeczywistym. Signal wdrożył dodatkowe zabezpieczenia potwierdzające nowe urządzenia.

Równolegle badacze publikowali analizy mobilnych kampanii spyware: ESET (ProSpy/ToSpy) w ZEA, Zimperium (ClayRat) w Rosji oraz Unit 42 (Palo Alto Networks) – LANDFALL uderzający w urządzenia Samsung Galaxy poprzez podatność CVE-2025-21042 i no-click DNG wysyłane w komunikatorach. Te raporty tworzą spójny obraz, na który właśnie powołuje się CISA.

Analiza techniczna / szczegóły luki

1) Przejęcia kont Signal przez „połączone urządzenia”

• Wektor: podszywanie się pod zaproszenia/grupy i wysyłka złośliwych QR.
• Efekt: do konta ofiary zostaje dodane urządzenie kontrolowane przez atakującego, co daje pełny podgląd wiadomości bez łamania E2EE.
• Mitigacje producenta: dodatkowe kroki potwierdzające i przypomnienia o nowo dodanym urządzeniu.

2) ProSpy / ToSpy (Android)

• Dystrybucja: fałszywe strony i „wtyczki” Signal Encryption Plugin oraz ToTok Pro poza oficjalnymi sklepami.
• Zdolności: wykradanie SMS, kontaktów, listy aplikacji, szerokie zbieranie plików (dokumenty, multimedia) oraz polowanie na backupy czatów ToTok (.ttkmbackup).
• Ukrywanie: zmiana ikony/nazwy na „Google Play Services” i przekierowania do prawdziwych stron, by uwiarygodnić instalację.

3) ClayRat (Android)

• Dystrybucja: kanały Telegram + domeny-sobowtóry WhatsApp/YouTube/TikTok/Google Photos; zachęcanie do włączenia instalacji z „nieznanych źródeł”.
• Zdolności: exfiltracja SMS, logów połączeń, powiadomień, zdjęć, wykonywanie zdjęć z przedniej kamery, a także samorozprzestrzenianie przez masową wysyłkę SMS do wszystkich kontaktów.
• Skala: setki wariantów i dziesiątki „dropperów” w kilka miesięcy.

4) LANDFALL (Android/Samsung)

• Wektor zero-click: złośliwe obrazy DNG zawierające załączony ZIP; exploit na CVE-2025-21042 w bibliotece przetwarzania obrazu Samsunga; ślady dostarczenia przez WhatsApp (nazwy plików).
• Zdolności: nagrywanie mikrofonu, lokalizacja, zdjęcia, kontakty, logi połączeń – komercyjnej klasy modułowy implant.
• Zasięg i profil ofiar: ukierunkowane operacje w Bliskim Wschodzie; próbki widoczne w VirusTotal już w 2024 r. (przed łatką).

Praktyczne konsekwencje / ryzyko

• Eskalacja dostępu: przejęcie konta komunikatora = dostęp do treści, kontaktów, grup, tokenów sesji, a w Androidzie nierzadko do SMS/telefonii (obsługa 2FA).
• Trwałość: parowanie urządzeń i ukryte ikony utrudniają wykrycie; spyware potrafi utrzymywać się po restarcie i automatycznie dosyłać ładunki.
• Ryzyko wtórne: przejęte konto staje się wektorem do dalszych ofiar (rodzina, współpracownicy, źródła dziennikarskie).

Rekomendacje operacyjne / co zrobić teraz

Dla osób wysokiego ryzyka (VIP, dziennikarze, NGO, urzędnicy):

1. Uwierzytelnianie odporne na phishing: klucze FIDO2 (np. do kont e-mail/chmury), zrezygnuj z SMS-MFA tam, gdzie to możliwe.
2. Higiena „połączonych urządzeń”: w Signal/WhatsApp sprawdź i usuń nieznane urządzenia; włącz powiadomienia o nowych sesjach.
3. iOS: włącz Lockdown Mode dla osób szczególnie narażonych; regularnie aktualizuj.
4. Android: korzystaj z telefonów producentów z dobrymi praktykami aktualizacji; włącz Google Play Protect, w Chrome Enhanced Protection, audytuj i cofaj uprawnienia aplikacjom. Nie instaluj APK spoza oficjalnych sklepów.
5. WhatsApp/Samsung: upewnij się, iż urządzenie ma poprawki CVE-2025-21042/CVE-2025-21043 (Samsung – kwiecień/wrzesień 2025). jeżeli otrzymasz „dziwne zdjęcie DNG/RAW” – nie otwieraj; aktualizuj natychmiast.
6. Szkolenia i SOP: w organizacji wdroż procedurę reagowania na podejrzane QR i fake’owe zaproszenia do grup/kanalów; centralny Mobile Threat Defense i monitorowanie instalacji z nieznanych źródeł.

Różnice / porównania z innymi przypadkami

• ProSpy/ToSpy vs ClayRat: oba to Android spyware z silnym komponentem socjotechniki i sideloadingu, ale ClayRat dodatkowo samonamiaża się przez SMS i intensywnie korzysta z Telegrama do dystrybucji.
• LANDFALL odróżnia wektor zero-click poprzez DNG i wykorzystanie podatności producenta (Samsung) – to poziom PSOA/komercyjnych dostawców spyware, a nie „czyste” kampanie phishingowe.
• Ataki na Signal Linked Devices to bypassy operacyjne, które nie łamią E2EE, ale przejmują endpoint poprzez dołączony klient.

Podsumowanie / najważniejsze wnioski

CISA oficjalnie łączy w całość kilka świeżych wątków: szeroko zakrojone oszustwa QR na Signal, kampanie podszywania się pod komunikatory (ProSpy/ToSpy, ClayRat) i zaawansowane łańcuchy zero-click (LANDFALL). Wspólny mianownik: atak na użytkownika i jego urządzenie, nie na kryptografię. Obrona wymaga połączenia hardeningu urządzenia, dobrych nawyków, oraz szybkiego patchowania – zwłaszcza w ekosystemie Android/Samsung.

Źródła / bibliografia

1. CISA – Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications (24 XI 2025). (cisa.gov)
2. Google Threat Intelligence – Russia targeting Signal Messenger via Linked Devices (19 II 2025). (Google Cloud)
3. ESET WeLiveSecurity – New spyware campaigns target privacy-conscious Android users in the UAE (ProSpy/ToSpy) (2 X 2025). (welivesecurity.com)
4. Zimperium – ClayRat: A New Android Spyware Targeting Russia (9 X 2025). (zimperium.com)
5. Unit 42 (Palo Alto Networks) – LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices (7 XI 2025). (Unit 42)