SSU e FBI desmontam campanha russa que rouba contas de apps de mensagens com falsos SMS de suporte

O Serviço de Segurança da Ucrânia (SSU), em ação coordenada com o FBI, revelou uma campanha prolongada conduzida por serviços de inteligência russos para invadir contas de aplicativos de mensagens de autoridades, militares, políticos e ativistas em três continentes. A tática combina SMS de suporte falsos, engenharia social e abuso de fluxos legítimos de vinculação de dispositivos para sequestrar conversas em Signal, WhatsApp e plataformas similares.

O que aconteceu

Em comunicado publicado no Telegram, a SSU descreveu uma operação de longa duração que combina mensagens SMS forjadas, fingindo-se de bots oficiais de suporte dos apps, com pedidos para que a vítima informe códigos de confirmação, PINs ou chaves de recuperação. Quando o usuário cede, o atacante obtém acesso à conta a partir de outro dispositivo e passa a ler, baixar e até responder mensagens em nome do alvo legítimo.

O alvo declarado é amplo: vai de oficiais de governo e militares ucranianos a parlamentares europeus e ativistas norte-americanos, passando por jornalistas e contas pessoais de cidadãos comuns. A SSU não atribuiu publicamente a campanha a um grupo específico, mas ondas de ataque com taxonomia idêntica vêm sendo conectadas há meses a clusters russos conhecidos como Star Blizzard, UNC5792 (também rastreado como UAC-0195) e UNC4221 (UAC-0185).

Em paralelo, o FBI divulgou alerta próprio reforçando que serviços de inteligência russos (Russian Intelligence Services, RIS) mantêm em curso uma campanha de phishing contra aplicações de mensagens comerciais (CMA), enganando alvos de alto valor para que entreguem credenciais ou aprovem vinculações maliciosas de dispositivos.

Como o ataque funciona

O fluxo técnico é simples e por isso eficaz. O atacante envia ao alvo um SMS aparentemente vindo de um número de serviço ou bot do app, dizendo que houve atividade suspeita ou que é necessário revalidar a conta. Em seguida, induz a vítima a abrir um link ou repassar o código de seis dígitos enviado pelo próprio aplicativo legítimo. Esse código é, na prática, a credencial para emparelhar um novo dispositivo à conta — ou seja, abre o acesso completo às conversas, contatos e histórico.

Em outras variantes, o atacante envia QR codes de “link de dispositivo”, convidando o alvo a escanear, o que efetivamente conecta o atacante ao espelho da conta. Esses fluxos são funcionalidades legítimas do Signal e do WhatsApp; o desvio não envolve quebra de criptografia, e sim uma sobreposição clássica de engenharia social sobre um recurso desenhado para conveniência do usuário.

“O objetivo desses ‘hacks’ é obter acesso a informações militares, políticas e econômicas sensíveis trocadas pelos usuários, além de roubar seus dados pessoais.”

SSU, em alerta publicado no Telegram

Quem está na mira

• Funcionários de governo, militares e oficiais de inteligência da Ucrânia.
• Políticos, jornalistas e ativistas em países da Europa e nos Estados Unidos.
• Pesquisadores, ONGs e think tanks ligados ao tema da guerra na Ucrânia.
• Contas pessoais de cidadãos ucranianos no exterior, usadas como porta de entrada para redes de contato.
• Usuários de Signal e WhatsApp em geral, expostos quando reutilizam dispositivos não auditados.

Análise

O caso reforça uma tendência consolidada desde 2023: a inteligência russa migrou parte significativa de seu esforço de coleta para o ecossistema de mensagens criptografadas. Não é uma escolha sem motivo. Conversas em Signal e WhatsApp permanecem o canal padrão de coordenação entre autoridades de Kyiv, militares europeus e operadores no terreno. Como a criptografia ponta a ponta torna o tráfego em trânsito praticamente intratável para interceptação passiva, os adversários partem para o ponto fraco mais barato: o endpoint humano e seus códigos de vinculação.

O paralelo com a campanha do Star Blizzard, atribuída pelo NCSC britânico ao FSB e responsabilizada por intrusões contra parlamentares e acadêmicos no Reino Unido, é direto. Já o UNC5792 — rastreado pela Google Threat Intelligence Group — é conhecido por usar páginas falsas de “Group Invite” e links de QR maliciosos no WhatsApp. UNC4221, por sua vez, foi documentado pela Mandiant em fevereiro de 2025 abusando do mecanismo de “Linked Devices” do Signal contra militares ucranianos. O que muda agora é a escala: a SSU descreve o esforço como sistemático e dirigido também a alvos civis, sinalizando uma operação industrializada, com infraestrutura compartilhada e provavelmente automação para envio massivo de SMS forjados.

Há, ainda, um ponto editorial relevante para o público brasileiro: o mesmo modelo de engenharia social é trivialmente replicável por atores criminosos locais. Grupos de fraude financeira no Brasil já testam variantes idênticas — falso suporte, pedido de código, sequestro de WhatsApp — para aplicar golpes em listas de contatos. A diferença é apenas a motivação. A higiene defensiva é a mesma.

Recomendações práticas

• Revisar periodicamente as sessões ativas (Linked Devices / Aparelhos conectados) em Signal, WhatsApp e Telegram, removendo qualquer dispositivo desconhecido.
• Habilitar a verificação em duas etapas com PIN próprio em todos os mensageiros, especialmente o WhatsApp.
• Tratar qualquer SMS, e-mail ou DM pedindo código de confirmação como tentativa de fraude — provedores legítimos nunca solicitam esse código por outro canal.
• Nunca escanear QR codes recebidos de remetentes desconhecidos ou por mensagens fora de contexto; em ambientes corporativos sensíveis, considerar bloquear o recurso “Linked Devices” via políticas de MDM.
• Para perfis de alto risco (defesa, política, jornalismo investigativo), separar o número de mensageiro do número de telefone publicado, usando um SIM ou número virtual dedicado.
• Conscientizar equipes e familiares sobre o vetor: o elo mais fraco continua sendo a pressa em responder uma mensagem que parece urgente.

Fonte: The Hacker News