WhatsApp đã thông báo cho khoảng 200 người dùng, chủ yếu ở Ý, rằng họ đã bị lừa cài đặt phiên bản giả mạo của ứng dụng nhắn tin mà thực chất là phần mềm gián điệp của chính phủ. Ứng dụng giả mạo này được xây dựng bởi SIO, một công ty công nghệ giám sát của Ý chuyên phát triển phần mềm gián điệp cho các cơ quan thực thi pháp luật và tình báo thông qua công ty con ASIGINT. WhatsApp cho biết họ đã chủ động xác định những người dùng bị ảnh hưởng, đăng xuất khỏi tài khoản của họ, cảnh báo họ về những rủi ro về quyền riêng tư và kêu gọi họ xóa ứng dụng khách giả mạo và cài đặt ứng dụng chính thức từ một nguồn đáng tin cậy. Công ty nói với TechCrunch rằng họ cũng có kế hoạch gửi yêu cầu pháp lý chính thức tới SIO để ngăn chặn mọi hoạt động độc hại liên quan đến chiến dịch.
Tiết lộ này được tờ báo Ý La Repubblica và hãng tin ANSA đưa tin lần đầu tiên, đánh dấu lần thứ hai trong vòng chưa đầy một năm WhatsApp công khai nêu tên một nhà cung cấp phần mềm gián điệp hoạt động chống lại người dùng ở Ý. Đầu năm 2025, WhatsApp đã cảnh báo khoảng 90 người dùng, bao gồm các nhà báo và nhà hoạt động ủng hộ nhập cư, rằng họ đã bị Paragon Solutions, một công ty giám sát Mỹ-Israel nhắm đến, có sản phẩm chủ lực là Graphite, được các cơ quan tình báo trong và ngoài nước của Ý triển khai. Tiết lộ đó đã gây ra một cuộc khủng hoảng chính trị ở Rome. Ủy ban giám sát tình báo quốc hội Ý, COPASIR, đã xác nhận việc sử dụng Graphite và phát hiện ra rằng bảy người Ý đã trở thành mục tiêu. Paragon sau đó đã cắt đứt quan hệ với các cơ quan gián điệp của Ý sau khi chính phủ từ chối xác minh xem liệu phần mềm gián điệp có được sử dụng để chống lại một nhà báo cụ thể, Francesco Cancellato của trang tin tức Fanpage hay không.
Phần mềm gián điệp của SIO hoạt động thông qua một mô hình khác. Phần mềm độc hại, được xác định bằng mã riêng của nó là Spytacus, được nhúng trong các ứng dụng giả mạo được thiết kế trông giống như phần mềm hợp pháp. Các nhà nghiên cứu đã tìm thấy 13 mẫu Spytacus khác nhau có niên đại từ năm 2019, trong đó mẫu gần đây nhất là vào cuối năm 2024. Các phiên bản trước đó mạo danh ứng dụng Android từ các nhà cung cấp dịch vụ di động Ý TIM, Vodafone và WINDTRE, cũng như các phiên bản giả mạo trước đó của chính WhatsApp. TechCrunch lần đầu tiên tiết lộ chiến dịch phân phối Android của SIO vào tháng 2 năm 2025. Hoạt động mới nhất, nhắm mục tiêu vào iPhone, thể hiện sự mở rộng chiến thuật này sang hệ sinh thái của Apple. Sau khi cài đặt, Spyrtacus có thể đánh cắp tin nhắn văn bản, lịch sử trò chuyện và nhật ký cuộc gọi cũng như ghi lại âm thanh và video trực tiếp từ micrô và camera của thiết bị.
Cơ chế phân phối cũng rõ ràng như chính phần mềm độc hại. Ở Ý, các nhà chức trách thường xuyên nhận được sự hợp tác từ các nhà cung cấp dịch vụ di động, những người thay mặt cơ quan thực thi pháp luật gửi liên kết lừa đảo đến khách hàng của họ. Mục tiêu nhận được thông báo cập nhật định kỳ từ nhà cung cấp của họ, hướng dẫn họ cài đặt bản cập nhật WhatsApp tiêu chuẩn. Bộ tư pháp Ý đã duy trì một bảng giá và danh mục cho thấy cách chính quyền có thể buộc các công ty viễn thông gửi những tin nhắn như vậy, một hệ thống biến chính mạng di động thành kênh phân phối các công cụ giám sát của nhà nước một cách hiệu quả. Chi phí thuê phần mềm gián điệp ở Ý thấp đáng kể: tính đến cuối năm 2022, cơ quan thực thi pháp luật có thể truy cập các công cụ này chỉ với 150 euro mỗi ngày mà không phải trả trước chi phí lớn thường hạn chế việc triển khai ở các quốc gia khác.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Vị trí của Ý như một trung tâm phần mềm gián điệp là điều không bình thường ở các nền dân chủ phương Tây. Các công ty bao gồm Hacking Team, Cy4Gate, RCS Lab và Raxir đều có trụ sở tại quốc gia này, được xây dựng bởi khung pháp lý cung cấp cơ sở pháp lý chính thức cho “captatore informatico” hay phần mềm chặn máy tính, phần mềm trojan được nhà nước phê chuẩn. Fabio Pietrosanti, chủ tịch Trung tâm Minh bạch và Nhân quyền Kỹ thuật số Hermes, đã nói rằng phần mềm gián điệp được triển khai thường xuyên hơn ở Ý hơn bất kỳ nơi nào khác ở châu Âu vì chi phí thấp và quy định dễ dàng khiến nó có thể tiếp cận được với nhiều cơ quan thực thi pháp luật hơn so với các nước láng giềng. Kết quả là tạo ra một hệ sinh thái trong đó lực lượng cảnh sát thành phố, không chỉ các cơ quan tình báo quốc gia, có thể thực hiện các hoạt động giám sát đối với các cá nhân.
Người phát ngôn của WhatsApp, Margarita Franklin, nói với TechCrunch rằng công ty vẫn chưa thể xác nhận liệu 200 người dùng bị ảnh hưởng có phải là nhà báo hay thành viên của xã hội dân sự hay không. Cô nói: “Ưu tiên hàng đầu của chúng tôi là bảo vệ những người dùng có thể đã bị lừa tải xuống ứng dụng iOS giả mạo này”. Công ty không nói rõ liệu họ đã chuyển vấn đề này đến các công tố viên Ý hay bất kỳ cơ quan quản lý nào. Apple và SIO đã không trả lời yêu cầu bình luận.
Bối cảnh pháp lý xung quanh phần mềm gián điệp thương mại đã thay đổi đáng kể trong năm qua. Vào tháng 5 năm 2025, một bồi thẩm đoàn ở California đã ra lệnh cho NSO Group, nhà sản xuất Pegasus của Israel, phải trả cho WhatsApp 167 triệu đô la tiền bồi thường trừng phạt sau khi phát hiện ra rằng WhatsApp đã cho phép khoảng 1.400 người dùng bị hack thông qua các cuộc tấn công không cần nhấp chuột. Một thẩm phán liên bang sau đó đã giảm mức thưởng xuống còn 4 triệu USD nhưng áp đặt lệnh cấm vĩnh viễn cấm NSO nhắm mục tiêu vào cơ sở hạ tầng của WhatsApp. NSO đã kháng cáo. Công ty mẹ của WhatsApp là Meta mô tả phán quyết này là một bước ngoặt và từ đó công ty đã mở rộng chiến lược pháp lý của mình chống lại ngành giám sát rộng lớn hơn. Yêu cầu pháp lý chính thức mà WhatsApp dự định gửi SIO tuân theo cùng một mô hình: sử dụng các vụ kiện tụng và tiết lộ công khai để ngăn chặn các công ty thu lợi từ việc xâm phạm các nền tảng nhắn tin được mã hóa.
Sự gia tăng nhanh chóng của các nhà cung cấp phần mềm gián điệp đặt ra một thách thức vượt ra ngoài bất kỳ nền tảng đơn lẻ nào. Apple đã gửi thông báo về mối đe dọa phần mềm gián điệp đánh thuê cho người dùng ở hơn 150 quốc gia kể từ năm 2021, cảnh báo những cá nhân mà họ tin rằng đã bị nhắm mục tiêu bởi các cuộc tấn công do nhà nước tài trợ. Vào tháng 4 năm 2025, Apple thông báo cho nhà báo người Ý Ciro Pellegrino, một trong những nạn nhân của Paragon, rằng anh ta đã trở thành mục tiêu. Các hệ thống thông báo do Apple và WhatsApp điều hành hiện đại diện cho cơ chế chính giúp nạn nhân bị chính phủ giám sát biết rằng họ đã bị xâm phạm, một chức năng từng là lĩnh vực độc quyền của các nhà nghiên cứu chuyên môn trong ngành an ninh mạng.
Thị trường đánh chặn hợp pháp toàn cầu được định giá 4 tỷ USD vào năm 2023 và dự kiến sẽ đạt 15 tỷ USD vào năm 2032, tăng trưởng khoảng 16% mỗi năm. Sự tăng trưởng đó được thúc đẩy không phải bởi các hoạt động khai thác không cần nhấp chuột theo phong cách Pegasus thu hút các tiêu đề, mà bởi loại công cụ dựa trên lừa đảo, chi phí thấp mà SIO bán. Rào cản gia nhập sự giám sát của chính phủ đã giảm xuống đến mức một sở cảnh sát địa phương ở một thành phố hạng trung của Ý có thể ủy thác cùng một loại triển khai phần mềm gián điệp mà trước đây chỉ dành riêng cho các cơ quan tình báo quốc gia. Khoảng cách giữa tham vọng pháp lý và năng lực thực thi ở châu Âu có nghĩa là các khung pháp lý điều chỉnh các công cụ này không theo kịp tốc độ áp dụng chúng.
Điều khiến vụ SIO khác biệt với vụ bê bối Paragon là ở phương pháp. Graphite của Paragon đã sử dụng các cách khai thác không cần nhấp chuột mà mục tiêu không cần thực hiện hành động nào. Spyrtacus của SIO yêu cầu mục tiêu cài đặt một ứng dụng giả mạo, một phương pháp kỹ thuật xã hội dựa trên sự tin tưởng vào nhà cung cấp dịch vụ và sự quen thuộc với các bản cập nhật ứng dụng thông thường. Việc các công ty viễn thông Ý tham gia vào chuỗi phân phối, gửi tin nhắn lừa đảo đến các thuê bao của họ theo yêu cầu của nhà nước, đã biến chính cơ sở hạ tầng di động thành một công cụ giám sát. Việc chính phủ hack một chiếc điện thoại là một chuyện. Đó là một việc khác để công ty điện thoại giúp đỡ.
Quyết định của WhatsApp công khai tên SIO và thông báo cho những người dùng bị ảnh hưởng tuân theo mô hình rộng hơn của các nền tảng công nghệ tự khẳng định mình là đối trọng trước sự giám sát của nhà nước theo những cách không thể tưởng tượng được một thập kỷ trước. Công ty không chỉ đơn thuần là vá một lỗ hổng. Nó đang xác định nhà cung cấp, cảnh báo nạn nhân và đe dọa hành động pháp lý, một động thái coi ứng dụng nhắn tin thuộc sở hữu của Meta là một biện pháp kiểm tra hiệu quả hơn việc lạm dụng phần mềm gián điệp của chính phủ so với bất kỳ cơ quan quản lý châu Âu nào đã quản lý cho đến nay. Động thái đó mang tính trấn an hay đáng báo động tùy thuộc vào quan điểm của bạn về việc trách nhiệm bảo vệ công dân khỏi chính phủ của họ cuối cùng sẽ nằm ở đâu.
Đối với 200 người dùng ở Ý đã nhận được thông báo của WhatsApp, câu hỏi trước mắt sẽ hẹp hơn: ai đã ủy quyền giám sát và trên cơ sở pháp lý nào? Câu trả lời có thể không bao giờ được công khai. Khuôn khổ ngăn chặn hợp pháp của Ý cho phép sử dụng các công cụ này dưới sự giám sát của cơ quan tư pháp, nhưng các cơ chế giám sát đã nhiều lần được chứng minh là không đủ để ngăn chặn hành vi lạm dụng. Vụ bê bối Paragon chứng minh rằng các cơ quan tình báo có thể nhắm mục tiêu vào các nhà báo và nhà hoạt động dưới vỏ bọc của cơ quan hợp pháp. Trường hợp SIO cho thấy vấn đề còn sâu sắc hơn, mở rộng đến các nhà cung cấp kém nổi bật hơn, các công cụ rẻ hơn và mô hình phân phối khai thác niềm tin của người dân đối với các nhà cung cấp dịch vụ di động của họ. Ngành công nghiệp phần mềm gián điệp không cần phải khai thác bằng cách nhấp chuột mới trở nên nguy hiểm. Nó chỉ cần một thông báo thuyết phục từ công ty điện thoại của bạn.
Nguồn The Next Web