# Oblivion RAT > RAT Android comercializado como MaaS por USD 300/mes, parte da onda de 6 familias Android documentadas em marco de 2026 mirando o ecossistema PIX e banking brasileiro. Análise técnica detalhada públicada pela iVerify e Gurucul. ## Visão Geral **Oblivion RAT** e um Remote Access Trojan (RAT) Android vendido como **Malware-as-a-Service (MaaS) por USD 300/mes**, identificado em marco de 2026 pela [[iverify|iVerify]] e [[cyfirma|CYFIRMA]] como parte de uma onda de seis familias de malware mirando o sistema bancario e PIX brasileiro. O nome reflete a operação "invisivel" do malware: opera de forma completamente oculta enquanto exfiltra dados financeiros e controla o dispositivo remotamente. Sua natureza MaaS indica infraestrutura compartilhada e capacidade de deployment em escala. | Campo | Detalhe | |-------|---------| | Plataforma | Android | | Modelo | MaaS - USD 300/mes | | Descoberta | Marco 2026 (iVerify, CYFIRMA) | | Status | Ativo - em circulacao | | Modelo de negocio | Builder + painel de controle para operadores | | Alvos primarios | Banking apps e sistema PIX brasileiro | ## Como Funciona ### Distribuição via Dropper O Oblivion RAT usa droppers para instalacao silenciosa: - APK dropper com payload em `assets/update.apk` - Impersona atualizacoes do Google Play Store - Falsifica apps como Google Services, Mail.ru, Yandex, Samsung - Paginas de phishing imitando Play Store hospedadas em dominios maliciosos ### Abuso de Accessibility Services O nucleo do Oblivion RAT e a configuração agressiva de Accessibility Services: ``` canRetrieveWindowContent = true -> Le todo conteudo de tela canPerformGestures = true -> Injeta toques e gestos typeAllMask = true -> Monitora TODOS os eventos de UI ``` Isso permite: - Monitorar todas as apps (banking, messaging, email, crypto) - Detectar frases de acionamento em tempo real (ex: campos PIX, confirmacao de pagamento) - Auto-conceder permissoes sem interação do usuario - Prevenir desinstalacao (anti-removal) ### Capacidades de Vigilancia e Fraude | Capacidade | Detalhe | |-----------|---------| | VNC remoto | Streaming de tela em tempo real via MediaProjection | | Keylogging | Captura por app e timestamp via Accessibility | | Interceptação OTP | Le, envia e deleta SMS - inclui códigos 2FA | | Controle de chamadas | Faz e intercepta chamadas telefonicas | | App enumeration | Categoriza apps em bancos, cripto, governo para priorizacao | | Wealth assessment | Avalia valor da vitima antes de fraude | | PIX monitoring | Monitora transações em tempo real para hijacking | | Ofuscação | Falso flag ZIP em classes.dex (`T1406`) | ### Dashboard MaaS para Operadores O painel de controle fornece aos compradores do servico: - Sessoes VNC ativas com as vitimas - Logs de keystroke organizados por app - SMS encaminhados em tempo real - Lista de apps instalados com avaliacao de valor financeiro - Historico de transações interceptadas ## Attack Flow ```mermaid graph TB A["📱 Dropper Disfarce<br/>Google Play falso<br/>Google Services / Mail.ru"] --> B["💾 Instalacao Silenciosa<br/>assets/update.apk<br/>Ofuscação fake ZIP T1406"] B --> C["♿ Accessibility Abuse<br/>typeAllMask + gestures<br/>Auto-permissoes T1453"] C --> D["📹 VNC Screen Stream<br/>MediaProjection T1513<br/>Dashboard do operador"] C --> E["⌨️ Keylog + SMS<br/>Input capture T1417<br/>OTP interceptado T1582"] D --> F["💰 Fraude PIX<br/>Wealth assessment<br/>Transação hijacked"] E --> F classDef delivery fill:#c0392b,color:#fff classDef install fill:#2980b9,color:#fff classDef persist fill:#8e44ad,color:#fff classDef collect fill:#e67e22,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B install class C persist class D,E collect class F impact ``` ## Timeline ```mermaid timeline title Oblivion RAT - 2026 2026-01 : Primeiras amostras em circulacao : Builder MaaS disponível em forums 2026-03 : iVerify publica análise técnica : CYFIRMA confirma como parte da wave 2026-03 : The Hacker News cobre 6 familias : Zimperium e Check Point válidam amostras ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Input Capture | [[t1417-input-capture-android\|T1417]] | Keylogging com tag por app e timestamp | | Screen Capture | [[t1513-screen-capture\|T1513]] | VNC via MediaProjection em tempo real | | Application Discovery | [[t1418-application-discovery\|T1418]] | Enumeracao e categorizacao de apps | | Obfuscated Files | [[t1406-obfuscated-files-or-information-mobile\|T1406]] | Falso flag ZIP em classes.dex | | Masquerading | [[t1655-masquerading-mobile\|T1655]] | Impersona Google, Samsung, Yandex | | SMS Control | [[t1582-sms-control\|T1582]] | Le, envia e intercepta SMS/OTP | | App Layer Protocol | [[t1437-application-layer-protocol\|T1437]] | C2 via protocolo customizado | | Abuse Accessibility | [[t1453-abuse-accessibility-features\|T1453]] | Controle total via Accessibility API | ## Relevância LATAM > [!latam] Impacto no Brasil > O Oblivion RAT integra a maior onda de malware Android simultaneamente direcionado ao **Brasil** em 2026 — 6 famílias mirando o ecossistema PIX com 150 milhões de usuários. Modelo MaaS por USD 300/mês democratiza o acesso: qualquer ator sem capacidade técnica própria pode comprometer dispositivos brasileiros em escala. O Oblivion RAT e parte da maior onda de malware Android simultaneamente direcionado ao Brasil registrada em 2026, junto com [[pixrevolution|PixRevolution]], [[beatbanker|BeatBanker]], [[taxispy-rat|TaxiSpy RAT]], [[mirax-rat|Mirax RAT]] e [[surxrat|SurxRAT]]. Com 150 milhões de usuarios PIX ativos e crescimento continuo do mobile banking no [[financial|Setor Financeiro]] brasileiro, o modelo MaaS torna o Oblivion RAT particularmente perigoso - qualquer ator com USD 300 pode comprometer dispositivos brasileiros sem capacidade técnica propria. A capacidade de **wealth assessment** - avaliar o valor financeiro da vitima antes de executar a fraude - indica sofisticacao operacional acima da media de RATs bancarios simples. ## Detecção e Defesa **Para usuarios:** - Recusar Accessibility Services para apps que nao sao leitores de tela oficiais - Verificar permissoes de apps na Play Store antes de instalar - Ativar Google Advanced Protection Mode (bloqueia abuso de AAS) - Monitorar consumo de bateria e dados - RAT ativo consome recursos anormalmente **Para equipes de segurança:** - Detectar `BroadcastReceiver DEFAULT_SMS_DIALOG_VISIBLE` em apps nao-SMS - Monitorar MediaProjection ativada por apps sem justificativa de captura de tela - Scan para APKs com flag ZIP malformada em classes.dex - Behavioral analytics para sequencias de Accessibility actions sem input do usuario **Ferramentas:** - Google Advanced Protection Mode (APM) - bloqueia AAS abuse - ThreatMark SDK - detecção por scan de permissoes - Zimperium e Check Point Mobile Threat Defense - assinaturas conhecidas ## Referências - [1](https://iverify.io/blog/oblivion-rat-android-spyware-analysis) iVerify - Oblivion RAT Android Spyware Analysis (análise técnica primaria) - [2](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) The Hacker News - Six Android Malware Families Target PIX - [3](https://gurucul.com/blog/detecting-oblivion-android-rat-accessibility-abuse-otp-interception-and-mobile-threat-behavior/) Gurucul - Detecting Oblivion RAT - [4](https://hackread.com/android-malware-oblivion-fake-updates-hijack-phones/) HackRead - Oblivion RAT via fake updates --- **Ver também:** [[surxrat]] - [[taxispy-rat]] - [[pixrevolution]] - [[beatbanker]] - [[wave-android-banking-trojans-brasil-2026]] - [[financial|Setor Financeiro]] - [[_malware]]