Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предупреждает, что злоумышленники в настоящее время активно атакуют мессенджеры Signal, WhatsApp и другие приложения для обмена зашифрованными сообщениями. Они применяют коммерческое шпионское программное обеспечение, эксплуатирующее уязвимости определённых устройств и учётных записей.

В предупреждении описываются попытки фишинга, имитация приложений и эксплойты. Часто применяются коммерческие инструменты, на уровне тех, которые используются в государственных учреждениях. Среди целей атак фигурируют высокопоставленные действующие и бывшие правительственные чиновники, военные и политические деятели, представители организаций гражданского общества в США, Европе и на Ближнем Востоке.

Вместо взлома шифрования выполняется взлом на уровне приложений или мобильной операционной системы, чтобы можно было читать сообщения до или после шифрования. Атаки для начала направлены на получение доступа к устройству. Попав на него, шпионское ПО загружает дополнительные данные, повышая привилегии и сохраняя долгосрочный контроль над данными и действиями жертвы.

Шпионское ПО способно получить доступ к истории чатов и сообщениям в режиме реального времени, перехватывать записи и файлы, иногда превращать телефон в устройство для наблюдения, собирать данные о местоположении, журналы вызовов, контакты и прочие документы.

Хакеры распространяют свои вредоносные приложения через фишинговые ссылки, поддельные веб-сайты, вредоносные QR-коды, трояны и неофициальные магазины. Часто это происходит в сочетании с применяемыми без взаимодействия с пользователем эксплойтами.

В CISA на это смотрят как на часть более обширного процесса. Поддерживаемые государством группы и занимающиеся кибернаёмничеством компании продают инструменты для обхода защиты, которую пользователи ждут от современных мобильных операционных систем и приложений со сквозным шифрованием.