Hackers ligados à Rússia estão explorando uma falha na função de “dispositivos vinculados” do Signal para obter acesso não autorizado às contas de vítimas. De acordo com um relatório da Google Threat Intelligence Group (GTIG), os ataques estão sendo conduzidos por diversos grupos de ameaça, incluindo um identificado como UNC5792, que usa QR codes maliciosos para enganar usuários e vincular suas contas a dispositivos controlados pelos hackers. A tática consiste em disfarçar esses QR codes como convites para grupos, alertas de segurança ou instruções legítimas de emparelhamento do próprio site do Signal.

Quando a vítima escaneia o código, sua conta é secretamente vinculada a um dispositivo do invasor, permitindo que ele leia todas as mensagens em tempo real sem levantar suspeitas. Esse método dá aos atacantes um canal de espionagem contínuo, comprometendo a privacidade da vítima de forma persistente. Além de UNC5792, outro grupo identificado como UNC4221 (também rastreado como UAC-0185) tem como alvo militares ucranianos, utilizando um kit de phishing avançado que imita aplicativos militares usados pelo Exército da Ucrânia, como o Kropyva, ferramenta de guia de artilharia.

Esse grupo também utiliza um malware leve baseado em JavaScript chamado PINPOINT, projetado para coletar informações básicas do usuário e dados de geolocalização. A Google alertou que essa campanha faz parte de um esforço mais amplo de grupos russos para comprometer aplicativos de mensagens seguras, e que ataques semelhantes também foram identificados em outros serviços, como o WhatsApp. Recentemente, a Microsoft e a Volexity divulgaram que hackers russos vêm explorando uma técnica chamada “device code phishing”, que permite sequestrar contas de vítimas via aplicativos como WhatsApp, Signal e Microsoft Teams.