Por Fernando de Falchi
Os ataques cibernéticos aumentam em número o tempo todo. De fato, em relatório recente do primeiro semestre de 2022 verificou-se um aumento global anual de 42% nos ataques. E, de acordo com o Relatório de Risco Global de 2022 do Fórum Econômico Mundial, 95% dos problemas de segurança cibernética são atribuídos a erro humano. Esses dados levantam uma bandeira vermelha para todas as organizações, especialmente aquelas que passaram pela transição para o trabalho remoto e híbrido, quando os funcionários passaram a usar dispositivos móveis com mais frequência.
Esses dispositivos agora têm acesso a dados confidenciais da empresa e conectividade direta à rede corporativa. Combine isso com o ingrediente-chave do “erro humano” e você verá por que os dispositivos móveis são um alvo tão importante para os cibercriminosos.
Apesar disso, muitas estratégias corporativas de segurança cibernética tendem a se concentrar apenas em endpoints tradicionais, como laptops. No entanto, você sabe se todos os dispositivos móveis da sua organização estão protegidos contra malware? Talvez você tenha o Mobile Device Management (MDM) e considere que isso é suficiente? Atenção! O MDM não fornece detecção de intrusão ou verificação de malware. E com o cenário de ameaças móveis em constante evolução, nunca foi tão importante adotar uma solução robusta. Vamos dar uma olhada no cenário atual e o que as empresas precisam saber para se manterem protegidas.
Mercado próspero de spyware
O cenário atual de malware móvel é um campo minado com mais e mais vulnerabilidades sendo exploradas e software de spyware sendo implantado. Em outro relatório global de segurança referente a 2021 foi revelado que o spyware do NSO Group, o Pegasus, estava causando estragos depois que foi descoberto obtendo acesso aos dispositivos móveis de funcionários do governo e ativistas de direitos humanos. Lamentavelmente, em 2022 isso não está sendo diferente, com o Pegasus tendo comprometido os dispositivos do Ministério das Relações Exteriores da Finlândia, do primeiro-ministro da Espanha, bem como vários dispositivos de funcionários do Reino Unido.
Em julho deste ano, a Apple introduziu um ‘modo de bloqueio’ para seus dispositivos para proteção contra invasões do Pegasus. Embora esse modo aumente a segurança dos usuários, também reduzirá significativamente a experiência do usuário e limitará a funcionalidade dos iPhones. No entanto, embora o Pegasus seja uma das ferramentas mais poderosas atualmente no mercado, o ecossistema de fornecedores de vigilância também se tornou mais competitivo. Por exemplo, o Predator, um spyware produzido pela empresa de vigilância comercial Cytrox, infectou iPhones no final de 2021 por meio de links de clique único enviados pelo WhatsApp. A partir de hoje, o alcance dessas ferramentas, sem falar em seus mecanismos, ainda não é totalmente compreendido pela comunidade cibernética, apesar dos extensos esforços de pesquisa.
Ataques de Zero-Click
Em termos de técnicas, neste ano vimos um aumento nos ataques de clique zero (Zero-Click) descobertos. Como o nome sugere, esses ataques não exigem nenhuma ação da vítima antes de implantar o malware. Isso ocorre porque eles exploram vulnerabilidades existentes em aplicativos já instalados, permitindo que os atacantes passem pelos sistemas de verificação e comecem o ataque sem serem percebidos. Essa técnica é particularmente focada em aplicativos que aceitam e processam dados, por exemplo, plataformas de mensagens instantâneas e e-mail.
Vimos isso em uma ação em abril, quando um novo exploit de clique zero no iMessage foi descoberto, aproveitado para instalar o Pegasus em iPhones, sendo executado em algumas versões anteriores do iOS. O exploit chamado HOMAGE foi usado em uma campanha contra funcionários, jornalistas e ativistas catalães.
É importante enfatizar, no entanto, que essa técnica não é apenas uma ameaça para os líderes mundiais, mas para as pessoas e organizações comuns. Nossos dispositivos móveis são centros de dados confidenciais, tanto dados pessoais como informações bancárias quanto dados corporativos, com muitos funcionários agora conectados às redes e dados de suas empresas por meio de seus smartphones, que se multiplicaram durante a pandemia da Covid-19 com milhares trabalhando em casa. Os cibercriminosos estão utilizando essa prática silenciosa e persistente para obter o máximo de acesso possível.
Ataques Smishing em ascensão
Além dos ataques Zero-Click, também observamos um crescimento contínuo na técnica de disseminação conhecida como “Smishing” (SMS Phishing), que usa mensagens SMS como vetor de ataque para distribuição de malware. Essas tentativas geralmente imitam marcas confiáveis ou contatos pessoais para atrair a vítima a clicar em um link ou compartilhar detalhes pessoais em sigilo. Esse método provou ser particularmente bem-sucedido, pois depois que um dispositivo foi comprometido, toda a sua lista de contatos está disponível, criando um ciclo interminável de possíveis vítimas.
É assim que o malware móvel Flubot foi comumente implantado. Desde seu surgimento, em dezembro de 2020, é considerado o botnet Android de crescimento mais rápido já visto. O grupo por trás dele é conhecido por ser particularmente inovador e buscar continuamente melhorar suas variantes, tendo feito dezenas de milhares de vítimas. Assim, em junho, uma operação internacional contra o cibercrime envolvendo 11 países levou à desativação de sua infraestrutura e à inatividade do malware.
Evidentemente, a posição do Flubot não poderia permanecer vaga por muito tempo, pois uma nova operação de malware para Android chamada MaliBot surgiu em seguida. O MaliBot tem como alvo carteiras bancárias online e carteiras digitais de criptomoedas na Espanha e na Itália, procurando replicar o sucesso de seu antecessor.
Segurança na App Store?
Muitos usuários recorrem às lojas de aplicativos para ajudar a manter seus dispositivos seguros, no entanto, existem aplicativos que afirmam ajudar a gerenciar riscos de segurança, mas que geralmente contêm malware. As lojas mais seguras, como a Google Play Store e a Apple App Store, têm processos de revisão completos para investigar os aplicativos candidatos antes de serem carregados e são mantidos em altos padrões de segurança assim que são admitidos nas plataformas. Outro relatório recente apontou que, ao longo de 2021, o Google bloqueou 1,2 milhão de aplicativos suspeitos e a Apple bloqueou 1,6 milhão. Os cibercriminosos engenhosos tentam continuamente contornar essas medidas de segurança, com táticas diferentes, como manipular seu código para passar pelos filtros ou introduzir aplicativos inicialmente benignos e adicionar os elementos maliciosos em um estágio posterior.
Portanto, não é surpresa encontrar aplicativos maliciosos escondidos nessas lojas. De fato, essas plataformas continuam sendo os principais vetores de infecção em ameaças móveis. Por exemplo, os pesquisadores da Check Point Software analisaram recentemente aplicativos suspeitos na Google Play Store e encontraram alguns deles disfarçados de soluções antivírus genuínas, enquanto, na realidade, uma vez baixados os aplicativos instalaram um Android Stealer chamado SharkBot que rouba credenciais e informações bancárias. E em fevereiro, um cavalo de Troia bancário Android chamado Xenomorph foi descoberto atrás de um aplicativo de produtividade falso na Google Play Store. Foram mais de 50 mil downloads.
Deve-se notar também que, devido à pandemia que alimenta o aumento do uso de dispositivos móveis para fins de trabalho nos últimos dois anos, a utilização de smartphones para fins de trabalho de repente se tornou o novo normal para muitos usuários e empresas, o que significava que direcionar seus ataques aos dispositivos móveis também se tornou o novo normal para os cibercriminosos. Infelizmente, a conscientização geral dos usuários de smartphones em relação aos ataques de segurança cibernética é muito menor e, embora muitos deles tenham começado a utilizar seus dispositivos pessoais ou fornecidos pela empresa para fins de trabalho, muitos ainda não o veem como uma questão sensível ao ambiente corporativo, sendo menos cuidadoso com e-mails maliciosos ou links que eles recebem.
O cenário de ameaças evolui rapidamente e o malware móvel é um perigo significativo para a segurança pessoal e corporativa, especialmente porque os dispositivos móveis são vulneráveis a vários vetores de ataque, desde o aplicativo até as camadas de rede e sistema operacional. Para combater esse risco, as organizações também devem procurar implantar estratégias proativas que possam manter a equipe e os dados corporativos protegidos contra um possível ataque. Esta deve ser uma jornada contínua, pois os cibercriminosos são implacáveis, sempre adaptando e melhorando suas táticas.
Para os próprios usuários de dispositivos móveis, recomendamos medidas de segurança adicionais, como baixar aplicativos apenas de lojas certificadas do Google e da Apple, e mesmo durante o download, revisar as recomendações e o número de downloads de um determinado aplicativo para verificar se os aplicativos são legítimos. Os usuários móveis devem adotar em seus smartphones, as mesmas regras que têm em seus dispositivos desktop, como não clicar em links de remetentes desconhecidos, seja via e-mail, mensagem SMS ou aplicativos de mensagens, e não baixar arquivos de fontes não confiáveis.
*Fernando de Falchi é gerente de Engenharia de Segurança e Evangelista na Check Point Software Brasil