Hackers exploram falha em aplicativo clone do Signal para roubar senhas e dados sensíveis

Hackers passaram a direcionar ataques a uma vulnerabilidade já conhecida no TeleMessage, aplicativo corporativo baseado no Signal, com o objetivo de obter logins, senhas e outras informações confidenciais de usuários. A brecha, catalogada como CVE-2025-48927, foi originalmente divulgada em maio e desde então permanece aberta em diversos dispositivos, segundo pesquisadores de segurança.

Alvo corporativo e governamental

O TeleMessage comercializa versões modificadas de mensageiros populares, como Signal, WhatsApp e Telegram, voltadas a empresas e órgãos públicos que necessitam registrar conversas para fins legais e de conformidade. Por atender ambientes sensíveis, o serviço se tornou atraente para cibercriminosos em busca de dados estratégicos.

Em maio, o aplicativo ganhou destaque após vir à tona o uso por altos integrantes do governo dos Estados Unidos. Na ocasião, o então conselheiro de Segurança Nacional Mike Waltz adicionou inadvertidamente um jornalista a um grupo que discutia possíveis bombardeios no Iêmen, episódio que resultou em forte repercussão política e na saída de Waltz do cargo. Pouco depois, agentes desconhecidos invadiram os servidores da empresa e obtiveram cópias de mensagens privadas e conversas em grupo, inclusive de órgãos como a Alfândega e Proteção de Fronteiras (CBP) e da exchange de criptomoedas Coinbase.

Novo ciclo de exploração

A partir de quinta-feira, a companhia de cibersegurança GreyNoise detectou múltiplas tentativas de exploração ativa do mesmo bug. Seus sensores, distribuídos pela internet para monitorar tráfego malicioso, registraram scripts que buscam aproveitar a falha para extrair credenciais em texto puro e outros dados armazenados pelo aplicativo.

De acordo com análise da GreyNoise, o procedimento de invasão é considerado simples. Bastam poucos comandos para que o invasor consiga acesso não autorizado às informações. A empresa alertou que “muitos dispositivos ainda estão expostos”, o que amplia a superfície de ataque.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu a vulnerabilidade em seu catálogo de Falhas Conhecidas Exploradas no início de julho. A presença na lista indica que o governo norte-americano possui evidências de uso ativo da falha por atores mal-intencionados. Apesar disso, até o momento não há relatos públicos de compromissos bem-sucedidos contra clientes do TeleMessage após a divulgação recente dos novos ataques.

Potencial de danos

Se bem-sucedidos, os hackers podem capturar nomes de usuário, senhas e outros dados que trafegam ou ficam armazenados em formato não criptografado. Com essas credenciais, seria possível não apenas ler conversas, mas também se passar pelos usuários afetados, ampliar movimentos laterais dentro de redes corporativas e comprometer sistemas conectados.

O cenário preocupa administradores de TI que optaram pelo TeleMessage para atender requisitos de arquivamento e compliance. A junção de dados sensíveis e da necessidade de manter histórico de mensagens cria uma base atraente, pois concentra informações que, em aplicativos convencionais, seriam eliminadas ou criptografadas de ponta a ponta.

Resposta da empresa

A reportagem solicitou posicionamento à TeleMessage sobre as recentes tentativas de exploração, mas não recebeu resposta até o fechamento deste texto. Desde o incidente de maio, a empresa não detalhou publicamente medidas adicionais de segurança nem eventuais correções definitivas para a falha.

Recomendações de mitigação

Enquanto não há atualização oficial, especialistas recomendam que administradores:

• verifiquem se estão executando a versão mais recente do software;
• limitem a exposição dos serviços à internet pública, adotando redes privadas virtuais ou proxies de aplicação;
• implementem autenticação multifator para reduzir o risco de uso indevido de senhas obtidas;
• monitorem logs em busca de acessos suspeitos e comportamentos anômalos.

A inclusão da falha no catálogo da CISA obriga agências federais norte-americanas a aplicar correções ou controles compensatórios dentro dos prazos estipulados, reforçando a urgência de ação também no setor privado.

Até que um patch seja disponibilizado e amplamente instalado, a expectativa é de que tentativas de exploração continuem. Organizações que utilizam o TeleMessage são aconselhadas a avaliar riscos, ajustar políticas de segurança e considerar soluções alternativas caso não consigam mitigar completamente a vulnerabilidade.