Autoridades alemãs alertam para campanha de phishing no Signal contra políticos, militares e jornalistas

As agências federais de segurança da Alemanha emitiram um alerta conjunto sobre uma campanha cibernética sofisticada de phishing realizada por meio do aplicativo Signal, direcionada a políticos, membros das Forças Armadas, diplomatas e jornalistas investigativos na Alemanha e em outros países europeus.

O comunicado foi divulgado pelo Bundesamt für Verfassungsschutz (BfV) e pelo Bundesamt für Sicherheit in der Informationstechnik (BSI), que classificaram a atividade como provavelmente conduzida por um ator estatal ou grupo hacker patrocinado por um Estado.

Segundo as autoridades, o objetivo da campanha é obter acesso não autorizado a contas de mensageiros, o que permitiria não apenas a leitura de comunicações confidenciais, mas também o comprometimento de redes inteiras de relacionamento, incluindo grupos privados e listas de contatos estratégicos.

Um aspecto relevante da ofensiva é que nenhuma vulnerabilidade técnica do Signal é explorada e nenhum malware é instalado. Em vez disso, os invasores abusam de funcionalidades legítimas da plataforma, transformando mecanismos de segurança em vetores de ataque.

Os hackers entram em contato direto com as vítimas se passando por “Signal Support” ou por um falso chatbot chamado “Signal Security ChatBot”. Durante a conversa, alegam que a conta da vítima corre risco de perda de dados e solicitam o PIN do Signal ou um código de verificação recebido por SMS.

Caso a vítima forneça essas informações, os invasores conseguem registrar a conta em um dispositivo sob seu controle, passando a ter acesso ao perfil, configurações, contatos e lista de bloqueios. Embora o PIN roubado não permita acesso às mensagens antigas, ele possibilita interceptar mensagens futuras e se passar pela vítima em novas conversas.

Em uma variação ainda mais grave, os atacantes exploram o recurso de vinculação de dispositivos, induzindo a vítima a escanear um QR Code malicioso. Nesse cenário, os hackers obtêm acesso às mensagens dos últimos 45 dias, além da lista de contatos, sem que a vítima perca o acesso à própria conta permanecendo, muitas vezes, sem perceber a espionagem.

As autoridades alertam que esse mesmo método pode ser facilmente adaptado para outros aplicativos de mensagens, como o WhatsApp, que utiliza mecanismos semelhantes de verificação em duas etapas e vinculação de dispositivos.

“Uma vez comprometida, uma conta de mensageiro pode servir como porta de entrada para redes inteiras por meio de chats em grupo”, alertaram o BfV e o BSI.

Embora os responsáveis não tenham sido oficialmente identificados, ataques semelhantes já foram atribuídos a grupos hackers alinhados à Rússia, como Star Blizzard, UNC5792 (UAC-0195) e UNC4221 (UAC-0185), segundo análises anteriores da Microsoft e do Google Threat Intelligence Group.

Em dezembro de 2025, a Gen Digital também descreveu uma campanha semelhante, chamada GhostPairing, que explorava a vinculação de dispositivos do WhatsApp para assumir contas e cometer fraudes.

O alerta alemão ocorre em paralelo a outras preocupações de segurança na Europa. O governo da Noruega acusou grupos hackers ligados à China, como o Salt Typhoon, de comprometer organizações explorando dispositivos de rede vulneráveis, enquanto também apontou atividades de espionagem russa contra alvos militares e ações iranianas voltadas ao monitoramento de dissidentes.

Autoridades norueguesas destacaram ainda que serviços de inteligência chineses estariam explorando parcerias acadêmicas e projetos de pesquisa para fortalecer capacidades de espionagem, além de utilizar redes profissionais como o LinkedIn para recrutar fontes humanas.