L’étude montre que les acteurs russes exploitent de plus en plus la fonction « linked device » intégrée à Signal en incitant le personnel militaire et gouvernemental ukrainien à scanner des QR codes malveillants pour permettre aux attaquants d’accéder en temps réel aux messages de la victime.

Ces attaques sont souvent déguisées en invitations de groupe, en alertes de sécurité et certaines imitent même des applications militaires. Une fois le QR code malveillant scanné, il relie silencieusement le compte Signal de la victime à une instance contrôlée par l’acteur de la menace, ce qui permet à ce dernier d’écouter les conversations sécurisées de la victime en temps réel, le tout sans compromettre totalement l’appareil.

En réponse à ces résultats, le personnel de Signal a travaillé en étroite collaboration avec GTIG pour enquêter sur cette activité et a ensuite publié des mises à jour pour Android et iOS afin de se protéger contre des campagnes de phishing similaires à l’avenir. Les utilisateurs de Signal doivent mettre à jour la dernière version de l’application sur leurs appareils mobiles.

Les techniques utilisées pour tromper les victimes sont les suivantes :
• L’hameçonnage (phishing) à distance : des ressources malveillantes sont masquées en alertes de sécurité, ainsi que des invitations légitimes à des groups sur Signal qui redirigent vers un site malveillant et lient les messages Signal d’une victime à un appareil contrôlé par l’acteur.
• Kit d’hameçonnage personnalisé : Un kit d’hameçonnage réalisé sur mesure sur Signal, conçu pour apparaître comme des applications spécialisées, comme celui qui imite les composants de l’application Kropyva utilisée par les forces armées ukrainiennes pour le guidage de l’artillerie.
• Appareils capturés : Les forces militaires russes déployées sur le front, soupçonnées d’être aidées par APT44 (AKA Sandworm), ont également relié des comptes Signal provenant d’appareils capturés sur le champ de bataille à des infrastructures contrôlées, en vue d’une exploitation future.

Dan Black, Analyste principal, Google Threat Intelligence Group et auteur de cette étude, souligne que :
" Les services de renseignement russes redoublent d’efforts pour compromettre les applications de messageries chiffrées telles que Signal, conscients du rôle crucial qu’elles jouent dans les communications sensibles des militaires occidentaux, des hommes politiques et d’autres personnes à haut risque. "

" Les différentes tactiques utilisées par la Russie pour cibler Signal, qui vont des opérations d’hameçonnage à distance à l’exploitation rapprochée utilisant l’accès physique aux appareils cibles, constituent un avertissement urgent concernant l’escalade des menaces pesant sur les outils dont les publics dépendent de plus en plus pour leurs communications sécurisées et privées. Nous estimons qu’il est très probable que ces tactiques prolifèrent en dehors de l’Ukraine et qu’elles soient utilisées à l’échelle mondiale dans un avenir proche. "