Ataques por implantes móveis na era da ciberespionagem

Quando os programas de espionagem eletrônica produzidos em massa se tornaram amplamente conhecidos pelo público, muitos provedores de e-mail, empresas e indivíduos começaram a utilizar criptografia de dados. Alguns deles implementaram soluções de criptografia forçada para conexões com o servidor, enquanto outros foram mais longe e implementaram criptografia de ponta a ponta para transmissão de dados, bem como o armazenamento de servidor.

Infelizmente, embora importante, medidas não solucionaram o principal problema. Bem, o projeto original usado nos e-mails permite que os metadados sejam lidos como texto simples nas mensagens enviadas e recebidas. Os referidos metadados incluem o destinatário, o remetente, a data de envio/recepção, o assunto, o tamanho da mensagem, se existem anexos e o cliente de e-mail utilizado para enviar a mensagem, entre outros dados.

Esta informação é suficiente para alguém que está por trás de ataques direcionados possa reconstruir uma linha de tempo para conversas, aprender quando as pessoas se comunicam entre si, sobre o que conversam e com que frequência elas se comunicam. Usando essas informações para preencher as lacunas, os agentes das ameaças são capazes de aprender o suficiente sobre seus alvos.

Além do exposto acima, as tecnologias estão evoluindo, então algo que é criptografado hoje pode ser facilmente descriptografado alguns anos depois, ou algumas vezes, apenas meses depois, dependendo de quão forte é a chave de criptografia e como as tecnologias estão se desenvolvendo rapidamente.

Diante deste cenário, as pessoas estão se afastando de trocas de e-mail quando se trata de conversas confidenciais. Em vez disso, eles começaram a usar aplicativos de mensagens móveis seguros com criptografia de ponta a ponta, sem armazenamento no servidor e exclusão programada. Por um lado, esses aplicativos gerenciam dados fortes e criptografias de conexão. Por outro lado, eles gerenciam a exclusão automática em telefones celulares e servidores do provedor. Finalmente, eles praticamente não possuem metadados ou são impessoais, não permitindo assim identificadores de sobre alvos ou correlação de dados. Dessa forma, as conversas são verdadeiramente mantidas de forma confidencial, seguras e práticas.

Naturalmente, esse cenário fez com que os agentes das ameaças desenvolvessem implantes para dispositivos móveis, uma vez que, de uma perspectiva de hacking, eles abordam todas as limitações técnicas acima mencionadas – isto é, a incapacidade de interceptar conversas entre usuários que migraram para essas aplicações de mensagens móveis seguras. E o que é um implante? Esta é uma terminologia interessante inventada pelos mesmos agentes das ameaças atrás de ataques direcionados. Vimos isso pela primeira vez durante a campanha de Careto anunciada há alguns anos.

Agora vamos analisar alguns implantes desenvolvidos pela HackingTeam para infectar dispositivos móveis rodando iOS (Apple), Android, Blackberry e Windows Mobile. HackingTeam não é o único grupo que desenvolve implantes para mobile. Existem vários esforços, com diferentes origens, que têm investido no desenvolvimento de malware para mobiles e usado em ataques direcionados a nível regional e internacional.

Implantes em Androids

Os telefones com Android são mais acessíveis e, consequentemente, mais populares em todo o mundo. É por isso que os agentes das ameaças, responsáveis por ataques direcionados, possuem telefones Android como sua prioridade número 1, tendo desenvolvido inserções para este sistema operacional em particular.

Vamos analisar o que um desses implantes é capaz de fazer:

HEUR:Trojan-Spy.AndroidOS.Mekir.a

01-implantes-android

Não é novidade que o algoritmo de criptografia usado em mensagens de texto é fraco. É seguro afirmar que praticamente todas as mensagens de texto enviadas são passíveis a interceptações. Por conta disso, muitos usuários têm utilizado softwares de mensagens instantâneas. No fragmento do código acima, podemos ver como os agentes das ameaças são capazes de obter acesso ao banco de dados de mensagens usado pelo WeChat, um app para troca de mensagens de texto.

Vamos supor que o aplicativo de mensagens que está sendo usado pela vítima é realmente seguro e há uma criptografia de ponta a ponta forte, mas todas as mensagens enviadas e recebidas são armazenadas localmente. Nesse caso, os agentes das ameaças ainda teriam a capacidade de decodificar essas mensagens. Bem, quando eles roubam um banco de dados junto com a chave de criptografia que está armazenada no dispositivo da vítima, os agentes das ameaças por trás desses ataques podem descriptografar todos os conteúdos. Isso inclui todos os elementos do banco de dados, não apenas as informações de texto, mas também os locais geográficos compartilhados, imagens, arquivos e outros dados.

Além disso, os agentes das ameaças têm a capacidade de manipular a câmera no dispositivo. Eles podem até mesmo tirar fotos da vítima para confirmação de identidade. Isso também se correlaciona com outros dados, como a rede Wi-Fi que o telefone está conectado.

02-implantes-android

Na verdade, não importa qual aplicativo a vítima está usando – uma vez que o dispositivo é infectado, os agentes das ameaças são capazes de ler todas as mensagens enviadas e recebidas pela vítima. Eles monitoram atentamente as atividades do usuário. No código a seguir, podemos ver as instruções usadas para interagir com os aplicativos de mensagens Viber e WhatsApp.

03-implantes-android

04-implantes-android

Se um dispositivo móvel está comprometido com um implante, a regra se torna muito simples – se você ler uma mensagem de texto na tela, os agentes das ameaças também serão capazes de ler todas as mensagens da vítima.

Implantes em iOS

Sem dúvida, os dispositivos móveis da Apple também desfrutam de uma grande fatia do mercado. Em alguns mercados, eles são certamente mais populares do que os dispositivos Android.

A Apple gerenciou a arquitetura de segurança de seus dispositivos muito bem. No entanto, não os torna completamente imunes a ataques de malware, especialmente quando há agentes das ameaças de alto perfil envolvidos.

Existem diversos vetores de infecção para esses dispositivos. Quando alvos importantes são selecionados, os agentes por trás desses ataques específicos podem aplicar técnicas de infecção que usam exploits cujos custos podem ser altos (milhares de dólares), porém, sendo altamente eficazes. Por exemplo, poderíamos apontar instalações de malware de infecções anteriores quando um dispositivo móvel é conectado por meio de uma porta USB.

Quais são as habilidades técnicas dos implantes em iOS? Vejamos o seguinte exemplo:

Trojan.OSX.IOSInfector.a

Este cavalo de tróia infecta dispositivos iOS usando um Jailbreak feito para o dispositivo específico. Em outras palavras, se as vítimas em potencial carregam seus celulares por meio de um cabo USB em um notebook, o computador já infectado pode forçar um desbloqueio no dispositivo, e uma vez que o processo estiver completo, os implantes mencionados são instalados.

05-implantes-ios

Neste código acima, você pode ver que o invasor é capaz de infectar o dispositivo e confirmar a identidade da vítima. Este é um passo crucial durante ataques direcionados, já que os agentes das ameaças por trás desses tipos de ataques não querem infectar a vítima errada e, pior ainda, perder o controle de seu implante e estragar toda a operação, expondo seu ataque ao público.

Consequentemente, uma das habilidades técnicas destes implantes é verificar o número do telefone da vítima, juntamente com outros dados para certificar-se que não estão atacando a pessoa errada.

Entre outras ações de levantamento preliminar de informações, este implante também verifica o nome do dispositivo móvel e o modelo exato do aparelho, status da bateria, dados de conexão Wi-Fi e o número IMEI, que é exclusivo para cada dispositivo.

06-implantes-ios

Mas por que eles verificam o status da bateria? Bem, existem várias razões para isso, e a principal delas é que os dados podem ser transferidos através da Internet para o servidor do hacker, sendo esta informação extraída de um dispositivo infectado. Quando os telefones estão conectados à Internet, seja através de um plano de dados ou Wi-Fi, a bateria é drenada mais rápida que o normal. Se os atores de ameaça extraírem dados em um momento inadequado, a vítima poderia facilmente perceber que há algo errado com o telefone, uma vez que a bateria ficaria mais quente e começaria a drenar mais rápido que o normal. Essa é a razão pela qual os agentes das ameaças preferem extrair informações de vítimas (especialmente dados maiores, como fotos ou vídeos) em um momento que sua bateria está sendo carregada e o telefone celular está conectado a uma rede Wi-Fi.

Uma parte importante das técnicas de espionagem é combinar o mundo real de uma vítima com o mundo digital em que vivem. Em outras palavras, o objetivo não é apenas roubar informações armazenadas no telefone celular, mas também espionar conversas convencionais realizadas off-line. Como eles fazem isso? Ativando a câmera frontal e o microfone nos dispositivos invadidos. O problema é que, se o telefone celular não estiver em modo silencioso ou vibracall, ele fará um som específico, como se uma foto tivesse sido tirada com a câmera. Como resolver? Bem, os implantes possuem uma configuração especial que desativa os sons da câmera:

07-implantes-ios

Uma vez que a vítima é confirmada, o hacker novamente começa a compilar as informações que o interessa. O código abaixo mostra que os atores de ameaça estão interessados nas conversas do Skype que suas vítimas estão tendo:

08-implantes-ios

Dessa forma, os agentes das ameaças têm total controle sobre as conversas de suas vítimas. Neste exemplo, o Skype é o aplicativo de mensagens que está sendo usado pelos agentes das ameaças, mas poderia ser qualquer aplicativo de sua escolha, incluindo aqueles aplicativos considerados muito seguros. Conforme mencionado acima, o elo mais fraco é o terminal móvel e, uma vez que é comprometido, não há necessidade de sequer crackear qualquer algoritmo de criptografia, não importa o quão forte possa ser.

Implantes para Blackberry

Alguns alvos podem usar telefones Blackberry, que são conhecidos por serem um dos sistemas operacionais mais seguros do mercado. Mesmo eles que são bem seguros, os atores de ameaça que direcionam os ataques não ficam pra trás, tendo seu arsenal pronto para os ataques.

Trojan-Spy.BlackberryOS.Mekir.a

Este implante é caracterizado por uma técnica de ofuscação de código forte. Analisá-lo é uma tarefa complexa. Quando olhamos para o código, podemos ver claramente que, mesmo que o implante venha do mesmo agente de ameaça, o desenvolvedor pertence a outro grupo de desenvolvedores. É como se um grupo específico estivesse encarregado de desenvolver implantes para este sistema operacional em particular.

Quais ações podem existir nesses implantes em um dispositivo Blackberry infectado? Bem, existem várias ações possíveis:

  • Verificar o estado da bateria;
  • Rastrear a localização geográfica da vítima;
  • Detectar quando um cartão SIM é substituído;
  • Ler mensagens de texto guardadas no dispositivo;
  • Compilar uma lista de chamadas feitas e recebidas pelo dispositivo.

09-implantes-blackberry

Depois que os telefones Blackberry começarem a utilizar o sistema operacional Android, os agentes das ameaças terão uma operação de maior alcance.

Implantes para Windows Mobile

O Windows Mobile não é necessariamente o sistema operacional mais popular para dispositivos móveis no mercado, mas é o sistema operacional nativo usado pela maioria dos dispositivos Nokia, que são preferidos pelas pessoas que procuram qualidade e um sólido histórico. Existe a possibilidade de alguns alvos utilizarem este sistema operacional, e é por isso que o desenvolvimento de implantes para dispositivos Windows Mobile também está em andamento. Em seguida, veremos o escopo técnico de um desses implantes:

HEUR:Trojan-Spy.WinCE.Mekir.a

Ao infectar o dispositivo móvel de uma vítima, este implante estará escondido sob um arquivo de biblioteca dinâmico com o nome “bthclient.dll“, que supostamente é um driver Bluetooth.

10-implantes-windows-mobile

11-implantes-windows-mobile

As habilidades técnicas desses implantes são praticamente ilimitadas. Os agentes das ameaças podem desenvolver várias ações, como verificar:

  • Uma lista dos apps instalados;
  • Nome da rede Wi-Fi (SSID) que a vítima está conectada;
  • Conteúdo da área de transferência, que geralmente contém informações de interesse para a vítima e, consequentemente, para o atacante.

Os atores da ameaça também podem aprender o nome e as configurações da APN (Access Point Names) que as vítimas utilizam para se conectar à Internet usando o plano de dados da operadora.

12-implantes-windows-mobile

Além disso, os agentes das ameaças podem monitorar ativamente aplicativos específicos, como o cliente de e-mail nativo e o hub de comunicação usado por um dispositivo Windows Mobile para processar os dados de comunicação da vítima.

13-implantes-windows-mobile

Conclusões

Considerando a explicação na introdução, é provável que as conversas mais sensíveis ocorram em aplicações móveis com criptografia de ponta a ponta, e não necessariamente em e-mails enviados com PGP (Pretty Good Privacy). Os agentes das ameaças estão cientes disso, e é por isso que eles têm trabalhado ativamente não só no desenvolvimento de implantes para computadores desktop, mas também para dispositivos móveis. Podemos dizer, com propriedade, que os atores de ameaça desfrutam de múltiplos benefícios quando eles infectam um dispositivo móvel ao invés de um computador tradicional. Suas vítimas estão sempre com seus telefones celulares, então esses dispositivos contém informações que seus computadores de trabalho não possuem. Além disso, os dispositivos móveis geralmente são menos protegidos do ponto de vista tecnológico, e as vítimas, muita das vezes, não acreditam que seus telefones celulares podem ser infectados.

Apesar de uma forte criptografia de dados, um terminal móvel comprometido está completamente exposto à espionagem, já que os agentes das ameaças, assim como os próprios proprietários dos telefones, conseguem ler as mensagens. Os atores de ameaça não precisam lutar com algoritmos de criptografia nem interceptar dados no nível da camada de rede. Eles simplesmente leem essas informações da mesma forma, assim como a vítima também faria.

Os implantes móveis não pertencem ao grupo de ataques maciços lançados por cibercriminosos; eles são realmente ataques direcionados em que as vítimas são cuidadosamente selecionadas antes do ataque. Então, o que faz de você um alvo?

Há vários fatores envolvidos em um alvo, incluindo se você é uma pessoa politicamente exposta (sigla de PPE), se tem contatos de interesse para os atores de ameaça, se a vítima está trabalhando em um projeto secreto ou sensível e que também é de interesse do atacante, entre outros. Uma coisa é certa: se você for alvo de um ataque, a probabilidade de infecção é muito elevada.

Tudo o que estamos vendo agora é uma batalha por números. Você não pode decidir se vai se tornar uma vítima, mas uma coisa que você poderia fazer é elevar o custo de tal ataque ao ponto que os atores de ameaça podem desistir e passar para um alvo menos caro e que seja mais tangível em termos de tempo investido e risco do ataque de exploração ser descoberto. Ah, mas como alguém pode elevar o custo de um ataque? Aqui está um conjunto de melhores práticas e hábitos em geral. Cada caso é único, mas a ideia principal é fazer com que os atores de ameaça não tenham motivação, uma vez que se torna muito trabalhoso realizar sua operação, aumentando assim o risco de fracasso.

Entre as recomendações básicas para melhorar a segurança de nossos dispositivos móveis, podemos destacar:

  • Sempre use uma conexão VPN para se conectar à Internet. Isso ajudará a tornar seu tráfego de rede não ser facilmente interceptável e sujeito a algum malware que poderia ser injetado diretamente em um aplicativo legítimo que está sendo baixado da internet;
  • Não carregue seus dispositivos móveis usando uma porta USB conectada a um computador. A melhor coisa que você pode fazer é ligar o telefone diretamente no adaptador de energia;
  • Instale um software anti-malware. Tem que ser o melhor. Parece que o futuro dessas soluções está precisamente nas mesmas tecnologias já implementadas para a segurança de desktops: Default Deny e Whitelisting;
  • Proteja seus dispositivos com uma senha e não com um PIN. Se o PIN for encontrado, os agentes das ameaças poderão obter acesso físico ao seu dispositivo móvel e instalar o implante sem o seu conhecimento;
  • Use criptografia nas memórias de armazenamento de dados implementadas por seus dispositivos móveis. Este conselho é especialmente atual para dispositivos que permitem a extração de discos de memória. Se os atores de ameaça extraírem sua memória, conectando-o a outro dispositivo, eles também serão capazes de manipular facilmente seu sistema operacional e seus dados em geral;
  • Não faça Jailbreak em seu dispositivo, especialmente se você não estiver muito certo no que isso implica;
  • Não use telefones celulares semi novos que já possam vir com implantes pré-instalados. Este conselho é especialmente importante se o seu telefone celular vem de alguém que você não conhece ou não é muito familiarizado;
  • Mantenha sempre o sistema operacional em seu dispositivo móvel atualizado e instale a atualização mais recente assim que estiver disponível;
  • Revise todos os processos que estão sendo executados na memória do dispositivo;
  • Revise todos os aplicativos autorizados no seu sistema e desative a função de envio automático de dados para logs e outros dados de serviço, mesmo se a comunicação estiver entre seu celular e seu provedor;
  • Finalmente, tenha em mente que, sem dúvida, as conversas convencionais em um ambiente natural são sempre mais seguras do que as realizadas eletronicamente.

Publicado originalmente no SecureList em 18 de janeiro de 2016.
Este conteúdo foi republicado com permissão. SecureList não é afiliado com este site.

Autor: Dmitry Bestuzhev
Tradução por Tiago Souza

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Rodapé do Site