Agências alemãs emitem alerta sobre campanha de espionagem via Signal
Em um alerta conjunto divulgado em 6 de fevereiro, o Bundesamt für Verfassungsschutz (BfV) e o Bundesamt für Sicherheit in der Informationstechnik (BSI) notificaram sobre uma campanha maliciosa que mira contas do aplicativo Signal de autoridades, jornalistas e membros das forças armadas.
Descoberta e escopo
Segundo o aviso citado por veículos especializados, as agências identificaram foco em "altos alvos" — militares, diplomatas, políticos e jornalistas investigativos — e atribuem a campanha a um "state-controlled cyber actor" (ator cibernético controlado por Estado), dado o interesse em inteligência e não em ganho financeiro.
Vetor e técnicas observadas
O relatório descreve duas técnicas principais usadas pelos invasores, ambas baseadas em engenharia social e no uso legítimo de recursos do Signal, o que as torna resistentes a detecções tradicionais por antivírus:
- "Fake Support" (falso suporte): atacantes se passam por suporte do Signal ou por um chatbot de segurança e contatam diretamente as vítimas dentro do app, alegando atividade suspeita. Em seguida pedem que a vítima confirme um código PIN de seis dígitos. Se o usuário fornecer o PIN, os invasores registram o número em um dispositivo sob seu controle, bloqueando o usuário legítimo e passando a se apresentar como ele em conversas futuras.
- "Silent QR Code Spy" (espião por QR code): com um pretexto plausível (convite para grupo, verificação de dispositivo etc.), o atacante induz a vítima a escanear um QR code que, tecnicamente, é um pedido de vinculação de dispositivo. Ao aceitar, a vítima autoriza silenciosamente um computador ou tablet do invasor a ler mensagens novas e acessar histórico de conversas dos últimos 45 dias, sem perder funcionalidade no telefone — o que costuma mascarar a intrusão por semanas.
Impacto e recomendações
As agências ressaltam que, por se tratar de espionagem dirigida a perfis de alto valor, os riscos são principalmente de exposição de comunicações sensíveis e de comprometimento da rede de contatos das vítimas. Como as técnicas exploram funcionalidades legítimas do Signal, a proteção depende em grande parte da consciência do usuário e de cuidados operacionais.
Entre as recomendações públicas citadas nas matérias está a verificação imediata da lista de Linked Devices (Dispositivos vinculados) nas configurações do Signal e a orientação explícita: nunca compartilhar códigos de verificação/PINs com ninguém, mesmo que a conta aparente ser suporte oficial. As agências também destacam que a persistência do acesso via dispositivos vinculados permite espionagem silenciosa por semanas.
Evidências, limites e o que falta
Os comunicados apontam a atribuição a um ator estatal pelo foco seletivo das vítimas, mas não apresentam publicamente números de vítimas nem identificam o Estado responsável. Também não há indicação pública, nas fontes consultadas, de exploração por falha técnica ou uso de malware; o vetor principal é engenharia social sobre funcionalidades legítimas do app.
Faltam ainda detalhes sobre escala (quantas contas foram comprometidas), indicadores técnicos de compromisso (IoCs) ou evidências técnicas que permitam rastrear operadores. As agências aconselham cautela e medidas operacionais, mas não divulgaram mitigadores técnicos adicionais além da higiene de conta.
Implicações para profissionais de segurança
Para equipes de segurança e CISO, o caso ilustra que aplicativos de mensageria com recursos de vinculação de dispositivo podem ser vetores de espionagem sem exploração de software. Controles úteis mencionados indiretamente pelas recomendações públicas incluem rotinas de verificação de dispositivos vinculados em contas críticas, treinamento específico sobre engenharia social em mensageiros e políticas claras para o tratamento de códigos de verificação.
Observação: as informações do texto foram extraídas do aviso conjunto do BfV/BSI reportado por veículos especializados; não há, nas fontes consultadas, contagem de vítimas ou nomes de operadores estatais.