operation-bearded-barbie

# Operation Bearded Barbie > [!info] Visão Geral > **Operation Bearded Barbie** e uma campanha de engenharia social do grupo [[g1028-apt-c-23]] (Hamas, APT-C-23), descoberta em 2022 pela Cybereason. O grupo usou perfis falsos femininos em redes sociais (Facebook, Telegram) para abordar militares israelenses, policiais e membros de organizacoes de defesa. Após ganhar confiança por meses, os operadores convenciam as vitimas a instalar aplicativos Android maliciosos disfarçados de apps de relacionamento, entregando os malwares [[volatilevenom]] e [[furball]] - ambos com capacidade de espionagem completa de dispositivos moveis. ## Visão Geral A Operation Bearded Barbie é um caso exemplar de engenharia social avançada combinada com espionagem móvel, conduzida pelo grupo [[g1028-apt-c-23]] — uma organização ligada ao Hamas que opera regularmente contra alvos israelenses desde pelo menos 2015. Descoberta pela Cybereason em 2022, a campanha utilizou perfis femininos fictícios convincentes em redes sociais (Facebook, Instagram, Telegram) para estabelecer relacionamentos longos e confiáveis com militares israelenses, policiais e membros de agências de inteligência antes de introduzir o vetor de comprometimento. A técnica de "catfishing" é meticulosa: os operadores mantêm perfis com fotos reais (possívelmente de mulheres israelenses reais cujas imagens foram coletadas sem consentimento), conversam por semanas ou meses em hebraico fluente, demonstram interesse genuíno pela vida da vítima, e só então — usando o pretexto de "chat privado mais seguro" ou "aplicativo de fotos" — convencem as vítimas a instalar aplicativos Android maliciosos. O [[volatilevenom]] e o [[furball]] entregues dessa forma são RATs Android completos com capacidade de interceptar SMS, gravar chamadas, ativar câmera e microfone, capturar capturas de tela e exfiltrar arquivos — tudo de forma silenciosa em segundo plano. Se a vítima também usa computadores Windows, o grupo entrega o [[barbwire-backdoor]] via [[barbie-downloader]], expandindo o comprometimento para o ambiente de desktop. O caso tem relevância para organizações brasileiras de [[government|governo]] e [[defense|defesa]] que operam em contextos onde adversários motivados por conflitos geopolíticos internacionais podem tentar recrutar ou comprometer funcionários usando técnicas similares de engenharia social nas redes sociais — especialmente no contexto de conflitos do Oriente Médio que possuem dimensões na diáspora brasileira. ## Attack Flow ```mermaid graph TB A["💼 Perfil Falso no Facebook Catfishing com identidade feminina israelense convincente"] --> B["💬 Engajamento por Meses Construcao de confianca via Telegram/WhatsApp"] B --> C["📱 Link para App Falso Aplicativo Android disfarçado de chat privado"] C --> D["🐍 VolatileVenom / FurBall RAT Android instalado com permissoes amplas"] D --> E["📷 Coleta de Dados SMS, chamadas, camera, microfone, localização GPS"] E --> F["🪟 BarbWire no Windows Se vitima usa PC, Barb(ie) Downloader entregue"] F --> G["📡 Exfiltração Continua Dados militares e de inteligencia israelenses"] ``` **Legenda:** [[g1028-apt-c-23]] utiliza [[volatilevenom]] e [[furball]] para Android; [[barbwire-backdoor]] para Windows, entregue via [[barbie-downloader]]. ## Cronologia | Data | Evento | |------|--------| | Set 2021 | Primeiros perfis falsos identificados - inicio do catfishing direcionado | | Out 2021 - Ján 2022 | Fase de construcao de confiança - engajamento prolongado com alvos | | Fev-Mar 2022 | Entrega dos aplicativos maliciosos Android via Telegram | | Abr 2022 | Cybereason pública análise inicial da operação | | Jun 2022 | Check Point Research documenta FurBall como variante mais nova | | Dez 2022 | Reducao de atividade - possívelmente por exposicao pública | | 2023 | APT-C-23 reaparece com variantes atualizadas em novas campanhas | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing via Servico de Terceiro | [[t1566-003-spearphishing-via-service\|T1566.003]] | Facebook/Telegram como vetor de engajamento inicial | | Engenharia Social - Link Malicioso | [[t1204-001-malicious-link\|T1204.001]] | Vitima clica em link para instalar APK fora da Play Store | | Captura de Entrada (Android) | [[t1417-input-capture\|T1417]] | Keylogging e interceptação de SMS em dispositivos moveis | | Captura de Video/Camera | [[t1512-video-capture\|T1512]] | Acesso a camera do dispositivo Android | | Captura de Tela | [[t1513-screen-capture\|T1513]] | Screenshots automaticos e gravacao de chamadas | | Coleta de Dados de Localização | [[t1430-location-tracking\|T1430]] | GPS tracking continuo da vitima | ## Vitimas Documentadas - **Militares israelenses**: soldados e oficiais das Forcas de Defesa de Israel (IDF) - **Policiais**: membros da Policia Nacional Israelense com acesso a sistemas internos - **Servicos de inteligência**: funcionarios de agencias de segurança israelenses - **Empresas de defesa**: funcionarios de contratantes militares israelenses A campanha foi altamente direcionada - estima-se dezenas de vitimas de alto perfil, nao um ataque em massa. ## Relevância para LATAM e Brasil Operation Bearded Barbie introduziu técnicas de catfishing militarizado que desde então se espalharam para outros grupos: 1. **Hamas como ator APT**: O reconhecimento de [[g1028-apt-c-23]] como APT com capacidades avancadas em mobile expande o panorama de ameaças de estado-nacao 2. **Técnicas de mobile RAT**: [[volatilevenom]] e [[furball]] representam geracao avancada de spyware Android - modelo replicado por grupos que operam na América Latina 3. **Engenharia social via redes sociais**: Grupos como [[g0134-transparent-tribe]] e atores na América Central usam abordagens similares contra militares e policiais ```mermaid graph TB subgraph "Métodologia APT-C-23" A["Perfis Sociais Falsos (Facebook/Telegram)"] --> B["Construcao de Confianca (semanas a meses)"] B --> C["Entrega de Malware Android/Windows"] end subgraph "Malware Arsenal" D["VolatileVenom RAT Android Pesado"] E["FurBall RAT Android Leve"] F["BarbWire Backdoor Windows"] G["Barbie Downloader Dropper Windows"] end C --> D C --> E C --> F ``` ## Mitigação - **Politica de BYOD e MDM**: Restringir instalacao de APKs fora da Google Play em dispositivos corporativos/governamentais - [[m1011-execution-prevention\|M1011]] - **Conscientizacao sobre catfishing**: Treinamento para militares e agentes de segurança sobre abordagens em redes sociais - [[m1017-user-training\|M1017]] - **Verificação de identidade rigorosa**: Protocolos para válidar novos contatos digitais em contextos de segurança nacional - **Mobile Threat Defense (MTD)**: Solucoes como Lookout ou Zimperium para detectar RATs Android em dispositivos governamentais - **Separacao de dispositivos**: Dispositivos dedicados para comúnicacoes sensiveis, sem redes sociais pessoais ## Referências - [1](https://www.cybereason.com/blog/operation-bearded-barbie-apt-c-23-campaign-targeting-israeli-officials) Cybereason - Operation Bearded Barbie: APT-C-23 Targeting Israeli Officials (2022) - [2](https://research.checkpoint.com/2022/furball-the-android-malware-that-rolls-in-sheep-clothing/) Check Point Research - FurBall: Android Malware by APT-C-23 (2022) - [3](https://attack.mitre.org/groups/G0130/) MITRE ATT&CK - APT-C-23 / Arid Viper Group Profile - [4](https://www.welivesecurity.com/en/eset-research/arid-viper-mobile-platform/) ESET WeLiveSecurity - Arid Viper Mobile Campaigns Overview (2023) - [5](https://blog.talosintelligence.com/2022/08/arid-viper-targets-middle-east.html) Talos Intelligence - Arid Viper (APT-C-23) Middle East Operations (2022)