Các nhà nghiên cứu bảo mật tại Lookout, được thúc đẩy bởi một khám phá trên trang web TechCrunch, đã xác nhận sự tồn tại của phần mềm gián điệp có tên Spyrtacus, ẩn sau một bản sao của WhatsApp. Phần mềm gián điệp này có thể chặn tin nhắn văn bản và tin nhắn từ WhatsApp, Signal và Messenger, ghi lại cuộc gọi và âm thanh xung quanh, cũng như chụp ảnh qua camera của điện thoại.
Các ứng dụng giả mạo được phân phối thông qua các trang web bắt chước trang web của các nhà mạng viễn thông Ý như TIM, Vodafone và WINDTRE—hoặc thậm chí là chính WhatsApp. Chúng cũng có thể được cung cấp thông qua các chiến dịch lừa đảo, qua tin nhắn SMS hoặc email, có chứa liên kết đến các trang web giả mạo này. Không giống như các phần mềm gián điệp tinh vi khác khai thác lỗ hổng zero-day, Spyrtacus chủ yếu dựa vào kỹ thuật xã hội: nó lừa người dùng tự nguyện cài đặt ứng dụng độc hại thông qua các trang web lừa đảo hoặc liên kết lừa đảo.
Mặc dù người dùng Android là mục tiêu chính, nhưng cũng có phiên bản dành cho Windows và có dấu hiệu cho thấy có phiên bản dành cho iOS và macOS. Hiện tại vẫn chưa biết Spyrtacus đang nhắm tới người dùng nào. Mặc dù chính phủ Ý chưa xác nhận sự liên quan của mình, nhưng một số yếu tố cho thấy khá rõ ràng rằng Spyrtacus đã được một cơ quan giám sát quốc gia sử dụng: ngôn ngữ của phần mềm độc hại, bản chất của các mục tiêu và hồ sơ của SIO, một nhà cung cấp phần mềm gián điệp được liệt kê cho các cơ quan chức năng.
SIO, tác giả của phần mềm gián điệp, là một công ty Ý chuyên bán phần mềm gián điệp cho các chính phủ. Công ty này được liệt kê chính thức là nhà cung cấp chính thức sản phẩm hoặc dịch vụ giám sát (SIOAGENT). Mặt khác, các ứng dụng và trang web độc hại được thiết kế để bẫy nạn nhân lại bằng tiếng Ý và bắt chước các dịch vụ của nhà mạng địa phương.
Khi được hỏi, Google đảm bảo rằng các phiên bản hiện tại của Spyrtacus không có sẵn trên Play Store. Tuy nhiên, các biến thể của phần mềm độc hại đã được tìm thấy trên Google Play vào năm 2018 trước khi những kẻ tấn công chuyển sang phân phối thông qua các trang web độc hại vào năm 2019. Lookout đã xác định được 13 phiên bản khác nhau của Spyrtacus đang lưu hành kể từ năm 2019, phiên bản gần đây nhất có niên đại từ tháng 10 năm 2024. Khi được TechCrunch liên hệ, cả SIO và các nhà chức trách Ý đều không bình luận về vấn đề này.
Người dùng WhatsApp thường là mục tiêu của loại phần mềm gián điệp này. Đầu năm nay, dịch vụ nhắn tin này đã thông báo cho 90 người—các nhà báo và thành viên của xã hội dân sự—rằng điện thoại thông minh của họ đã bị nhiễm phần mềm gián điệp.
Nguồn: TechCrunch
WhatsApp bị lừa để theo dõi người dùng ở Ý
Các ứng dụng giả mạo được phân phối thông qua các trang web bắt chước trang web của các nhà mạng viễn thông Ý như TIM, Vodafone và WINDTRE—hoặc thậm chí là chính WhatsApp. Chúng cũng có thể được cung cấp thông qua các chiến dịch lừa đảo, qua tin nhắn SMS hoặc email, có chứa liên kết đến các trang web giả mạo này. Không giống như các phần mềm gián điệp tinh vi khác khai thác lỗ hổng zero-day, Spyrtacus chủ yếu dựa vào kỹ thuật xã hội: nó lừa người dùng tự nguyện cài đặt ứng dụng độc hại thông qua các trang web lừa đảo hoặc liên kết lừa đảo.
Mặc dù người dùng Android là mục tiêu chính, nhưng cũng có phiên bản dành cho Windows và có dấu hiệu cho thấy có phiên bản dành cho iOS và macOS. Hiện tại vẫn chưa biết Spyrtacus đang nhắm tới người dùng nào. Mặc dù chính phủ Ý chưa xác nhận sự liên quan của mình, nhưng một số yếu tố cho thấy khá rõ ràng rằng Spyrtacus đã được một cơ quan giám sát quốc gia sử dụng: ngôn ngữ của phần mềm độc hại, bản chất của các mục tiêu và hồ sơ của SIO, một nhà cung cấp phần mềm gián điệp được liệt kê cho các cơ quan chức năng.
SIO, tác giả của phần mềm gián điệp, là một công ty Ý chuyên bán phần mềm gián điệp cho các chính phủ. Công ty này được liệt kê chính thức là nhà cung cấp chính thức sản phẩm hoặc dịch vụ giám sát (SIOAGENT). Mặt khác, các ứng dụng và trang web độc hại được thiết kế để bẫy nạn nhân lại bằng tiếng Ý và bắt chước các dịch vụ của nhà mạng địa phương.
Khi được hỏi, Google đảm bảo rằng các phiên bản hiện tại của Spyrtacus không có sẵn trên Play Store. Tuy nhiên, các biến thể của phần mềm độc hại đã được tìm thấy trên Google Play vào năm 2018 trước khi những kẻ tấn công chuyển sang phân phối thông qua các trang web độc hại vào năm 2019. Lookout đã xác định được 13 phiên bản khác nhau của Spyrtacus đang lưu hành kể từ năm 2019, phiên bản gần đây nhất có niên đại từ tháng 10 năm 2024. Khi được TechCrunch liên hệ, cả SIO và các nhà chức trách Ý đều không bình luận về vấn đề này.
Người dùng WhatsApp thường là mục tiêu của loại phần mềm gián điệp này. Đầu năm nay, dịch vụ nhắn tin này đã thông báo cho 90 người—các nhà báo và thành viên của xã hội dân sự—rằng điện thoại thông minh của họ đã bị nhiễm phần mềm gián điệp.
Nguồn: TechCrunch