A Google Threat Intelligence Group (GTIG) 2025. február 19-én kiadott jelentése szerint megnövekedett a Signal felhasználói fiókok megszerzésére irányuló kampányok száma az Oroszországhoz köthető kiberbűnözői csoportok körében.
A kiberbűnözők egyre kifinomultabb módszereket alkalmaznak, hogy hozzáférjenek áldozataik személyes kommunikációjához. Az utóbbi időben egy olyan támadási forma terjedt el, amely a Signal üzenetküldő alkalmazás eszköztársító („Linked Devices”) funkcióját használja ki. A támadók jellemzően egy rosszindulatú QR-kódot küldenek az áldozatoknak, megtévesztő szöveg kíséretében. Ha az érintett beolvassa a QR-kódot, a támadók eszköze automatikusan társítva lesz az áldozat Signal-fiókjához. Ezzel teljes hozzáférést nyernek az üzenetváltásokhoz, és azok tartalmát szabadon figyelhetik.
A módszer különösen veszélyes, mivel a támadók gyakran célzott kampányokat alkalmaznak. Egyes esetekben a megtévesztő üzeneteket úgy állítják össze, hogy az egy adott célcsoport számára hitelesnek tűnjön. Például egy Signal-csoport meghívónak álcázva küldik el a fertőzött linket tartalmazó QR-kódot, így növelve az áldozatok megtévesztésének esélyét. Az is előfordult már, hogy a csalók egy valódi Signal csoport meghívó linkjét módosították úgy, hogy az átalakított hivatkozás valójában egy kártékony URL-re irányítsa az áldozatot, amely létrehozta a kapcsolatot a támadók eszköze és az érintett fiókja között.
Az ukrán CSIRT egy, a Signalos esetekhez hasonló kampányt figyelt meg, amelyben a támadók a WhatsApp alkalmazás felhasználói fiókjaihoz fértek hozzá. A GTIG jelentése szintén azt hangsúlyozza, hogy nem csak a Signal áll az orosz hackercsoportok fókuszában. Például az elmúlt hónapokban zajló „Coldriver” elnevezésű kampány célpontjai magas beosztású, WhatsAppot használó diplomaták voltak.
Miután ezt az elkövetési módszert (idegen eszköz társítása) nehéz észlelni, a támadók hosszú időn keresztül észrevétlenek maradhatnak. Ezért a Signal illetve WhatsApp felhasználók számára a biztonság növelése érdekében javasolt az alkalmazások folyamatos frissítése, a hosszú és bonyolult feloldókódok használata, a társított eszközök listájának rendszeres ellenőrzése és a többlépcsős azonosítás alkalmazása, ezen felül kerülendő az ismeretlen QR-kódok beolvasása!
