Home » A ameaça do stalkerware

A ameaça do stalkerware

Em 15 de agosto, um invasor foi capaz de obter acesso completo e total a tudo no meu celular pessoal. Em apenas alguns minutos, ele conseguiu baixar todas as minhas fotos e vídeos. Ele pôde ler minhas mensagens de texto e e-mails e até enviar o que quisesse enquanto se passava por mim. Ele rastreou minha localização e ativou secretamente meu microfone e câmera. Ele sabia a minha localização a qualquer momento e onde eu estaria de acordo com o meu calendário. Ele teve acesso a toda a minha vida.

Felizmente, eu era o tal invasor. E, felizmente, eu estava conduzindo um experimento para demonstrar como é fácil armar nossos próprios telefones contra nós, como pode ser difícil detectar até mesmo para usuários experientes e como pode ser desastroso se isso acontecer. Na verdade, é muito fácil.

Em maio de 2018, os pesquisadores de segurança Andrew Blaich e Michael Flossman, da Lookout, descobriram uma nova variável de malware denominada Stealth Mango (para Android) e Tangelo (para iOS). Essas ferramentas foram implantadas com sucesso contra alvos militares e governamentais no Paquistão, Afeganistão, Índia, Iraque, Irã e Emirados Árabes Unidos e se espalharam amplamente por phishing e sites afetados. A campanha finalmente conseguiu extrair mais de 15 GB de dados, incluindo mensagens de texto, contatos, gravações secretas e comunicações militares/governamentais sigilosas. Os dados roubados ainda incluíam digitalizações de passaporte, carteiras de identidade, quadros brancos e fotos de reuniões/cerimônias que incluíam membros do serviço americano. Em outras palavras, era um tesouro de informações.

Enquanto pesquisavam a campanha, os pesquisadores fizeram uma descoberta notável: a mesma equipe que desenvolveu o Stealth Mango e Tangelo também criou uma variável comercial e o código era quase exatamente o mesmo. As variantes comerciais de spyware móvel são frequentemente chamadas de “stalkerware” ou “spouseware”, nomeadas após o uso comum (que, no inglês, remete a “software para cônjuges”).

Antigamente, ataques móveis sofisticados e operações de inteligência eram da competência de governos. É por isso que o governo e as forças armadas não permitem telefones celulares em determinadas áreas. Mas, atualmente, a ameaça cresceu exponencialmente e o número de possíveis vetores de ataque justifica uma cuidadosa reconsideração de nossas políticas, treinamento e postura defensiva. Hoje, a ameaça inclui qualquer pessoa com mais ou menos US$ 60 capaz de seguir instruções básicas. Há inúmeras variações deste tipo de software disponíveis comercialmente, sem mencionar as múltiplas versões homebrew. Podemos começar a ter uma noção do âmbito do problema analisando os dados gerados por um funcionário auto-identificado de uma dessas empresas, a Flexispy.

O Flexispy desenvolve e vende esse tipo de software. A empresa também vendem uma versão de “etiqueta branca” para outras empresas revenderem com sua própria marca. De acordo com as informações fornecidas aos pesquisadores de segurança de placa-mãe Lorenzo Franceschi-Bicchierai e Joseph Cox, pelo menos 130.000 pessoas tinham contas registradas no serviço. Entre eles, um professor da quinta série, o presidente de uma empresa de distribuição, o vice-presidente de um banco e muitos outros. E essa é apenas uma empresa: há muitas outras com sua própria base de clientes.

Recentemente, acessei o site de uma dessas empresas. O site deles lista dois usos principais para a marca de stalkerware: “manter seus filhos seguros” e “monitorar o uso do telefone da empresa por seus funcionários”. Além de diversas citações vazias inseridas livremente. É importante observar que esses dois objetivos são tecnicamente legais, embora existam certas advertências e disposições que seriam de responsabilidade do comprador obedecer.

Como experimento, entrei em contato com essa empresa com uma história fictícia. Eu disse ao representante de vendas que achava que minha “namorada” estava me traindo e queria saber se o produto deles poderia me ajudar a espioná-la. Expressei a consideração por ela descobrir isso e mencionei que é o telefone dela. Em outras palavras, eu estava perguntando se eu poderia usar o software deles para cometer um crime grave. O representante me garantiu que funcionaria perfeitamente para isso. Ele me ofereceu dicas sobre como instalá-lo sem que a vítima o descobrisse e até um código de desconto de 10% no meu primeiro mês.

Depois que comprei uma licença de um mês (optei por não aproveitar os descontos oferecidos por períodos mais longos), demorou cerca de dois minutos para infectar meu telefone. Depois disso, só tive que fazer login no meu painel on-line no site da empresa para acessar tudo no meu telefone agora infectado. Se eu quisesse espionar alguém, teria diversos meios para fazê-lo.

A história fictícia é realista e inclui não apenas parceiros abusivos, como também assaltantes, hackers ou qualquer outra pessoa que se beneficiaria desse nível de acesso sem precedentes ao tentar realizar seus objetivos em contraposição aos nossos. É um método barato e de baixo risco de coleta de informações que pode ser iniciado em qualquer lugar do mundo, dependendo dos recursos técnicos do criminoso.

Como discutido anteriormente, já restringimos telefones celulares em áreas específicas. Isso é bom, e não deve mudar. Mas o que seu concorrente poderia fazer se conseguisse infectar um ou mais telefones celulares pessoais ou emitidos para o seu funcionário?

Todos sabemos que não devemos falar sobre tópicos relacionados ao trabalho enquanto estamos fora do escritório para almoçar, mas nos sentimos um pouco mais seguros quando estamos sozinhos com nossos colegas de confiança que estão trabalhando no mesmo projeto. Não contaríamos ao nosso concorrente sobre problemas de rede e vulnerabilidades, mas podemos fazer uma pesquisa rápida na Internet em nosso telefone enquanto tentamos corrigir um problema de configuração do roteador. E trabalhamos duro para proteger as informações sobre chegadas de clientes, mesmo que um telefone comprometido possa dizer muito mais do que um itinerário. Isso sem mencionar o potencial de chantagem para funcionários bem colocados com base no uso de aplicativos (por exemplo, um funcionário casado usando um aplicativo de namoro/encontros), histórico de localização, recibos por e-mail e muito mais. Na próxima vez em que pensar nas informações que deseja proteger, pense em todos os itens que podem ser comprometidos com os telefones de seus funcionários.

Como sempre, o risco no mundo real deve nortear a política. Mas, quando falamos em dispositivos pessoais e fora do horário de trabalho, não há muito que a política possa resolver adequadamente. Precisamos fornecer aos nossos usuários os recursos e as informações de que eles precisam para se proteger nessas condições. Por exemplo, estes são alguns conceitos importantes que podem ser ensinados aos seus funcionários para ajudar a proteger eles e suas informações críticas:

– Aplicativos de antivírus gratuitos podem conseguir detectar variáveis de stalkerware, mas muitas vezes não são instalados por padrão. Instalar um aplicativo antivírus de terceiros por uma empresa respeitável ajudará a prevenir a infecção antes de tudo

– Verifique periodicamente sua lista de aplicativos instalados em busca de qualquer item que você não reconheceu ou que não reconhece. Muitos aplicativos de stalkerware na verdade não mostram um ícone; portanto, isso pode não ser suficiente por si só

– Se estiver usando um aparelho Android, verifique as configurações em “Administradores de dispositivo”. Todos os aplicativos listados aqui têm mais ou menos controle total do seu dispositivo. Por exemplo, o programa que eu testei exigia esses privilégios para funcionar. Além disso, desative a opção “Instalar de fontes desconhecidas” para ajudar a impedir a instalação clandestina de programas

– O método menos difícil de instalar stalkerware envolve acesso físico ao dispositivo. Isso permite que o invasor garanta que o programa esteja funcionando corretamente e que suas pegadas sejam totalmente removidas. Verifique se o dispositivo está bloqueado e se usa uma senha, PIN ou algum outro recurso de segurança. Outros métodos de instalação vistos em ambiente selvagem incluem ataques de phishing ou atrair usuários para um site comprometido, conhecido como ataque de “watering hole”. Lembre-se de abordar esses métodos em seu programa de treinamento e conscientização

– Alguns usuários podem optar por fazer root ou jailbreak de seu aparelho para aumentar as funções ou desbloquear certos recursos. No entanto, isso também aumenta as opções disponíveis para o invasor. Por exemplo, alguns ataques contra dispositivos iOS simplesmente não funcionam, a menos que o dispositivo seja desbloqueado. Se seus usuários tiverem feito root ou jailbreak de seus dispositivos, verifique se eles estão cientes dos riscos

Este foi apenas um resumo curto que trata do âmbito do problema e as medidas básicas de correção. Não temos escolha a não ser enfrentar essa ameaça emergente antes que seja tarde demais. Assim como nossos adversários, precisamos nos adaptar a um ambiente novo e cada vez mais conectado, onde os campos de batalha são turvos na melhor das hipóteses e os usuários comuns estão na linha de frente de um novo tipo de combate.

Leave a Reply

Your email address will not be published.