در نوامبر ۲۰۲۵، CISA  هشدار مهمی صادر کرد: گروه‌هایی در حال اجرای کمپین‌های فعال برای آلوده کردن کاربران پیام‌رسان‌های امن مانند Signal و WhatsApp هستند. جالب آن‌که این خطر نه به خاطر ضعف در رمزنگاری پیام، بلکه به‌واسطه ضعف در سیستم‌عامل، اپلیکیشن یا رفتار کاربران است . یعنی end-to-end encryption به تنهایی کافی نیست.

در ادامه، سه کمپین مهم که نام‌شان بارها در گزارش‌های CISA و رسانه‌ها آمده را بررسی می‌کنیم: LANDFALL، ProSpy و ToSpy . و می‌بینیم چرا این‌ها زنگ خطر برای کاربران حساس و مدیران امنیتی هستند.

🔍 ۱.  LANDFALL  : جاسوس‌افزار پیشرفته برای دستگاه‌های سامسونگ

LANDFALL چیست؟

LANDFALL  یک ابزار جاسوسی اندرویدی پیچیده است که به‌طور ویژه برای دستگاه‌های سری Galaxy  سامسونگ ساخته شده است.
با استفاده از یک آسیب‌پذیری ZERO-DAY  در کتابخانه‌ی پردازش تصاویر سامسونگ با شناسه ‎CVE-2025-21042 . مهاجمان توانسته‌اند با ارسال یک تصویر مخرب (DNG / .dng) از طریق WhatsApp، بدافزار را روی گوشی قربانی اجرا کنند.

ساز و کار (Exploit Chain)

✔️ مهاجم یک فایل تصویری (DNG image) را به گوشی هدف می‌فرستد، معمولاً با ظاهری کاملاً معمولی.

✔️ وقتی تصویر باز یا پیش‌نمایش می‌شود مثلاً توسط WhatsApp ، کتابخانه تصویرپردازی سامسونگ باگ دارد و این باگ به مهاجم اجازه می‌دهد تا کد مخرب را اجرا کند.

✔️ بدافزار پس از اجرا می‌تواند تعداد زیادی از قابلیت‌ها را فعال کند: دسترسی به میکروفون (ضبط صدا)، دوربین، موقعیت (GPS)، عکس‌ها، پیام‌ها، فایل‌ها، تماس‌ها، تاریخچه مرورگر، دیتاهای اپلیکیشن و … . و این یعنی دستگاه قربانی کاملاً تحت کنترل مهاجم درمی‌آید.

LANDFALL ✔️  از لحاظ طراحی و trade-craft بسیار شبیه جاسوس‌افزارهای سطح APT یا «سازمان‌های جاسوسی» حرفه‌ای است، نه بدافزار ساده.

دامنه و هدف

CISA گزارش می‌دهد که این کمپین عمدتاً در خاورمیانه فعال بوده اما تهدید برای همه کاربران دستگاه سامسونگ با اندروید آسیب‌پذیر وجود دارد. تحلیلگران معتقدند LANDFALL نماد عبور از مرزهای گذشته است: اکنون “تصویر”  نه لینک یا پیام کافی است برای نفوذ.

LANDFALL  نشان داد که حتی اگر پیام‌رسان از رمزنگاری قوی استفاده کند (E2EE)، اگر دستگاه به‌روز نباشد یا آسیب‌پذیر باشد، رمزنگاری هیچ کمکی نمی‌کند. برای سازمان‌ها و شرکت‌ها ، به‌ویژه آن‌هایی که از سیاست BYOD (استفاده از موبایل شخصی) استفاده می‌کنند، این یک هشدار جدی است.

👥 ۲.  ProSpy و ToSpy  :  جاسوس‌افزارهایی که خودشان را جای پیام‌رسان جا می‌زنند

ProSpy و ToSpy چه هستند؟

دو خانواده جاسوس‌افزار اندرویدی جدید هستند که توسط محققان امنیتی (بعنوان مثال ESET) کشف شده‌اند. این بدافزارها تلاش می‌کنند خود را به شکل افزونه یا نسخه «پرو» از پیام‌رسان‌های امن مثل Signal اپ‌هایی جا بزنند. سپس از طریق وب‌سایت‌های جعلی یا استورهای غیررسمی به کاربر پیشنهاد نصب می‌دهند.

روش توزیع و آلوده‌سازی

✔️ این اسپای‌افزارها در فروشگاه‌های رسمی (Google Play / App Store) نیستند و کاربر باید دستی (sideload) نصب‌شان کند.

✔️ سایت‌های جعلی ممکن است بسیار شبیه سایت رسمی Signal باشند. طوری که کاربر به سادگی فریب بخورد.

✔️ پس از نصب، بدافزار درخواست مجوزهایی مانند دسترسی به مخاطبین، فایل‌ها، پیام‌ها، تماس‌ها و غیره می‌کند. اگر کاربر مجوز دهد، بدافزار در پس‌زمینه فعال می‌شود و شروع به ارسال داده و اطلاعات حساس به سرور مهاجم می‌کند.

✔️ این بدافزارها «پایدار» هستند، یعنی با ریبوت دستگاه هم پاک نمی‌شوند و می‌توانند به طور مداوم اطلاعات استخراج کنند.

حوزه جغرافیایی و هدف

گزارش ESET نشان می‌دهد که تمرکز ProSpy / ToSpy بیشتر بر کاربران در امارات متحده عربی (UAE)  بوده اما به‌طور بالقوه برای هر کس که اپ‌ها را از منابع ناشناس دانلود می‌کند، خطر وجود دارد.

چرا این نوع حملات خطرناک‌ترند

✔️ آنها همانند ویروس یا exploit ‌نیستند که نیاز به مهارت بالا داشته باشند. فقط کافی است کاربر اپ را دانلود و نصب کند.

✔️ این روش حمله «آگاهانه به کاربر» است: اعتماد به برند یا نام پیام‌رسان باعث می‌شود کاربر کمتر شک کند.

✔️ برای کاربران عادی شاید حساس به نظر نیاید ولی برای کسانی که اطلاعات حساس دارند (روزنامه‌نگار، فعال، مدیر، کارمند نهاد مهم)، تبعات می‌تواند خیلی جدی باشد.

🧠 ۳. چرا به پیام‌رسان امن با وجود رمزنگاری تضمینی نیست

بسیاری از ما وقتی از Signal یا WhatsApp استفاده می‌کنیم، احساس امنیت می‌کنیم چون پیام‌ها رمزنگاری end-to-end دارند. اما وقایع اخیر نشان داده‌اند:

✔️ حتی اگر پروتکل امن باشد، لایه زیرین (سیستم عامل / اپ / دستگاه) می‌تواند به سادگی دور زده شود.

✔️ حملاتی مانند zero-click (مثل LANDFALL) نیازی به تعامل کاربر ندارند. یعنی کافی است کاربر تنها یک عکس دریافت کند.

✔️ یا اگر کاربر خودش نصب دستی اپ کند (مثلاً ProSpy / ToSpy)،  باز هم به راحتی سیستمش آلوده می‌شود.

یعنی رمزنگاری فقط لایه انتقال (in-transit) را امن نگه می‌دارد،  ولی وقتی داده‌ها در دستگاه هستند اگر دستگاه ناامن باشد، رمزنگاری هیچ محافظتی ارائه نمی‌دهد.

علاوه بر این، پژوهش‌های آکادمیک نیز نشان داده‌اند که اگر مهاجم بتواند کنترل بکاپ یا فضای ذخیره‌سازی را به دست گیرد.حتی طراحی‌های پیشرفته backup یا synchronization  در پیام‌رسان‌ها می‌تواند دچار ضعف شود.

✅  توصیه‌های حیاتی برای کاهش خطر (براساس هشدار CISA)

بر پایه توصیه‌های CISA و تحلیل کمپین‌های فعلی، اگر در موقعیت حساس قرار دارید یا دستگاه و داده مهمی دارید، این اقدامات را جدی بگیرید:

✔️ فقط نسخه ی اصلی پیام‌رسان را از استور رسمی نصب کنید نه نسخه جعلی یا sideloadو از وب‌سایت‌های مشکوک دوری کنید.

✔️ اقدام به روزرسانی مداوم سیستم‌عامل و اپلیکیشن‌ها.  وقتی به‌روزرسانی برای گوشی در دسترس است، فوراً نصب کنید.

✔️ اگرموبایلتان به نوعی حساس است (مثلاً برای کار امنیتی، خبرنگاری، فعالیت‌های مدنی، شرکت)، از سیاست سخت‌گیرانه permission management استفاده کنید. مجوزها را محدود کنید، دانلود اتوماتیک عکس/فایل را غیر‌فعال کنید، پیش‌نمایش لینک/عکس را خاموش کنید.

✔️ اگرامکان دارد دستگاه جداگانه‌ای فقط برای ارتباطات حساس در نظر بگیرید و از آن برای کارهای روزمره استفاده نکنید.

✔️ از احرازهویت مقاوم در برابر فیشینگ مانند استاندارد FIDO استفاده کنید و از MFA مبتنی بر SMS خودداری کنید.

🔚 جمع‌بندی:

ظهور کمپین‌هایی مانند LANDFALL، ProSpy و ToSpy به ما ثابت می‌کند که مفهوم «امنیت پیام‌رسان» دیگر فقط به الگوریتم رمزنگاری برنمی‌گردد. در دنیای امروز امنیت واقعی فقط با ترکیب چند لایه حاصل می‌شود: سیستم‌عامل به‌روز، اپلیکیشن رسمی، رفتار کاربری آگاهانه، مدیریت مجوزها، سخت‌افزار امن، و نهایتاً، فرهنگ امنیتی در سطح فردی و سازمانی.

اگر ما به این هشدارها بی‌توجه باشیم، حتی امن‌ترین پیام‌رسان‌ها ممکن است ضعیف‌ترین نقطه‌ برای لو رفتن اطلاعات حساس شوند.