Google upozorava! Hakeri kradu poruke iz aplikacije Signal pomoću specifičnog trika
20.02.2025. | 17:16Google je upozorio na napade grupa koje podržava ruska država, koje kradu poruke iz aplikacija za razmjenu poruka kao što je Signal.
Ove grupe, često povezane sa ruskim obavještajnim službama, fokusirane su na kompromitovanje naloga koje koriste ciljevi od interesa, na primjer, političari, novinari i aktivisti. Iako se čini da su napadi vezani za sukob u Ukrajini, istraživači vjeruju da će se ova taktika proširiti na druge regione i aktere prijetnji.
Primarni metod koji koriste napadači u ovoj kampanji je iskorišćavanje funkcije Signala „povezani uređaji“. Koristeći phishing tehnike, napadači varaju korisnike da skeniraju zlonamjerne QR kodove, koji zatim tajno povezuju nalog žrtve sa uređajem koji kontroliše napadač. Ovo omogućava napadaču da prima sve poruke u realnom vremenu, i tako špijunira razgovore bez potrebe da kompromituje cijeli uređaj.
Ovi zlonamerni QR kodovi su često predstavljeni kao legitimni Signalovi QR kodovi za pozivnice za grupe, bezbjednosna upozorenja ili čak uputstva za uparivanje uređaja.
Grupa, identifikovana kao UNC5792 (poznata i kao UAC-0195), modifikuje legitimne linkove za pozivnice za Signal grupe. Ovi izmijenjeni linkovi preusmjeravaju žrtve na lažne stranice koje iniciraju neovlašćeno povezivanje njihovih uređaja sa uređajem napadača. Phishing stranice su dizajnirane tako da liče na zvanične pozivnice za Signal, što otkrivanje čini izazovnim. Druga grupa, UNC4221 (UAC-0185), ciljala je pripadnike ukrajinske vojske tako što je ugradila zlonamjerne QR kodove na phishing sajtove koji oponašaju aplikacije za artiljerijsko navođenje. Napadači su takođe koristili lažna bezbjednosna upozorenja Signala da obmanu žrtve.
APT44 (Sandworm) osim phishinga koristi malver i skripte za eksfiltriranje poruka iz aplikacije Signal sa kompromitovanih Windows i Android uređaja. Njihova WAVESIGN skripta preuzima nedavne poruke, dok malver Infamous Chisel pretražuje fajlove baze podataka Signala na Android uređajima.
Druge grupe, kao što su Turla i UNC1151, ciljaju na desktop aplikaciju, koristeći skripte i alate za kopiranje i eksfiltriranje sačuvanih poruka. UNC4221 je takođe koristio malver PINPOINT za prikupljanje korisničkih informacija i podataka o geolokaciji.
Popularnost aplikacija za bezbjednu razmjenu poruka čini ih glavnim metama za hakere, a druge platforme, kao što su WhatsApp i Telegram, takođe se suočavaju sa sličnim prijetnjama. Googleovi istraživači kažu da to što je Signal na meti nekoliko hakerskih grupa u posljednjih mjeseci je upozorenje da će se napadi na aplikacije za razmjenu poruka koje važe za bezbjedne, intenzivirati u bliskoj budućnosti, piše Informacija.rs.
