Аналітики Google Threat Intelligence Group попередили, що хакери використовують легітимну функцію «Прив’язані пристрої» (Linked Devices) у Signal для отримання несанкціонованого доступу до чужих акаунтів.

За інформацією дослідників, за останній рік зловживання функцією Linked Devices стало «найбільш новаторською і широко використовуваною технікою», яку застосовують для злому Signal російськомовні хак-групи.

У рамках таких атак зловмисники створюють шкідливі QR-коди й обманом змушують потенційних жертв відсканувати їх, щоб Signal синхронізувався з пристроєм самих хакерів. Цей простий трюк не вимагає повної компрометації пристрою жертви, але дає змогу відстежувати захищені розмови.

У разі вузькоспрямованих і цільових атак хакери додавали шкідливі QR-коди на фішингові сторінки, які мали зацікавити потенційну жертву. Наприклад, маскуючи коди під «спеціалізовані додатки, які використовуються об’єктами операції».

Крім того, наголошується, що Signal – не єдиний месенджер, до якого хакери виявляють інтерес останніми місяцями. Наприклад, у рамках схожої кампанії Coldriver, метою атак ставали акаунти у WhatsApp, що належать високопоставленим дипломатам.

При цьому пов’язану з прив’язкою пристроїв компрометацію важко виявити і захиститися від неї, оскільки наразі не існує технічних рішень для моніторингу подібних загроз.