Uma das conclusões do mais recente Threat Landscape Report da S21sec aponta que os ciberataques passaram a ter um alvo principal diferente do anterior, focando-se cada vez mais nos equipamentos móveis.
O aumento de ciberataques a dispositivos móveis nos primeiros seis meses de 2022 foi significativo no que diz respeito à atividade de malware móvel.
Ciberataques aumentam e focam-se cada vez mais nos dispositivos móveis
Segundo avança a S21sec, o Relatório Digital Global Statshot, publicado em abril de 2022, 67% da popularção mundial utiliza atualmente um dispositivo móvel, ou seja, mais de 5,32 mil milhões de pessoas em todo o mundo possuem algum tipo de dispositivo móvel.
Estes equipamentos tornam-se aliados do dia a dia onde acabamos por armazenar uma quantidade grande de informação pessoal e sensível, seja na memória interna dos equipamentos como nos serviços na cloud.
É com este conhecimento que os ciberataques começaram aos poucos a ser dirigidos aos dispositivos móveis, de forma a tentarem aceder a fotografias, palavras passe, dados bancários, informações da empresas, etc.
“Como tem sido o caso nos últimos anos e nos primeiros seis meses de 2022, tem havido um aumento na atividade de malware móvel. Os cibercriminosos acrescentaram smartphones e tablets à lista de alvos prioritários, o que levou a um aumento das ciber ameaças que visam especificamente estes dispositivos”, refere Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.
Segundo a S21sec existem quatro vias para a distribuição de malware que tem como alvo os dispositivos móveis:
- Ataques de smishing – neste caso, os ciberataques baseiam-se numa substituição de identidade das aplicações, sejam estas de bancos, lojas ou empresas de transporte. Enviam mensagens que incluem geralmente uma página fraudulenta que vai solicitar ao utilizador que insira determinas informações pessoas de forma a roubar as credenciais de acesso ou então um URL que direciona para uma página onde é descarregado o malware.
- Utilização de Pop-Ups – anúncios em formato de alerta que surgem em diferentes páginas a chamar a atenção do utilizador para fazer o download de uma atualização importante, tratando-se de um ficheiro corrompido a fazer-se passar por um software comum.
- Mercados não oficiais de aplicações – este é um dos principais locais onde os ciberataques são realizados e onde o malware é distribuído. Como se trata de um mercado não oficial de aplicações, é mais fácil inserirem algum tipo de malware como se fosse uma outra aplicação ou então copiam uma aplicação já conhecida onde posteriormente inserem o dito malware.
- Aplicações com malware em mercados oficiais como a Google Play ou a Apple Store – apesar de terem medidas de segurança internas para evitar este tipo de ciberataques, por vezes os atacantes arranjam forma de contornar estes mecanismos e conseguem fazer a distribuição de malware através de canais oficiais.
Os ciberataques mais relevantes
Um dos ciberataques por malware móvel mais relevantes trata-se do spyware Pegasus, desenvolvido pela empresa de segurança israelita NSO Group, que tem como objetivo a espionagem.
Este tipo de spyware tornou-se muito relevante nos últimos três anos e especialmente neste último semestre devido á sua utilização contra membros do Estado e governos autónomos, assim como contra jornalistas e pessoas relevantes para a sociedade.
Um dos casos mais notórios ocorreu em Espanha, no mês de maio, quando fois descoberto que haviam realizado um ciberataque ao Primeiro Ministro, Pedro Sánchez, com este malware que infetou os seus telemóveis. Além dele, também a Ministra da Defesa, Margarita Robles, foi atacada assim como outras entidades governamentais.
“Este software tira partido de vulnerabilidades do telefone, enviando por exemplo um SMS, e através desse SMS, mesmo que o utilizador não faça nada, o equipamento é infetado e comprometido através do método “clique zero”. Não deixa rasto visível no telefone e é muito difícil de detetar”, afirma Hugo Nunes.
“O mais importante para evitar ter este tipo de spyware instalado é garantir sempre controlo sobre o seu dispositivo móvel, pois pode ser instalado numa questão de segundos. É também muito importante manter todo o software do equipamento atualizado e não clicar em endereços, e-mails ou mensagens que não conhece”, acrescenta.
Além do Pegasus, também outros ataques relevantes como Xenomorph e Flubot foram muito utilizados no último semestre para realizar os ciberataques a equipamentos móveis.
O Xenomorph trata-se de um trojan bancário Android que foi detetado pela primeira vez em fevereiro de 2022 disfarçado de uma aplicação legítima. Da mesma forma que outro tipo de trojans bancários, o utilizador ao abrir a aplicação e tentar fazer o login na suposta página de acesso da sua instituição bancária, acaba por fornecer os seus dados de acesso aos atacantes sem se aperceber que o está a fazer.
Após o “início de sessão”, os atacantes começam então a tratar de fazer o download do maior número de dados possíveis e, como seria de esperar, a retirar o dinheiro da conta do utilizador.
O Flubot foi descoberto já em dezembro de 2020 e tem vindo a espalhar-se de forma rápida nos últimos dois anos. O ciberataque é realizado através da distribuição via SMS, chamadas perdidas ou alertas que podem-se fazer passar por diferentes entidades.
A ideia é espalhar ligações maliciosas onde o malware em questão é descarregado para o equipamento da vitima como se fosse um software de localização de encomendas falsas ou de outros serviços com rastreamento. Como este tipo de notificações é feito, supostamente, por entidades conhecidas é muito mais provável que as vítimas caiam na armadilha e acabem por sofrer um ciberataque.
Em maio de 2022, a estrutura por detrás do Flubot terá sido desativada pela polícia holandesa e, no início de junho, a Europol anunciou a remoção completa do Flubot Android.
