# MobileOrder > Tipo: **malware** · S0079 · [MITRE ATT&CK](https://attack.mitre.org/software/S0079) ## Descrição [[s0079-mobileorder|MobileOrder]] é um trojan para dispositivos móveis Android utilizado pelo [[g0029-scarlet-mimic|Scarlet Mimic]], grupo de ciberespionagem que tem como alvo principal ativistas, grupos minoritários e dissidentes políticos ligados a causas tibetanas, uigures e outros movimentos pró-direitos humanos na Ásia. Descoberto em 2015 pela Palo Alto Networks, o MobileOrder representa uma extensão das capacidades do [[g0029-scarlet-mimic|Scarlet Mimic]] além de plataformas Windows, para comprometimento de dispositivos pessoais de alvos de alto valor. O MobileOrder coleta informações detalhadas do dispositivo comprometido: dados do sistema ([[t1082-system-information-discovery|T1082]]), lista de processos em execução ([[t1057-process-discovery|T1057]]), arquivos e diretórios ([[t1083-file-and-directory-discovery|T1083]]), dados armazenados localmente ([[t1005-data-from-local-system|T1005]]) e histórico de navegação ([[t1217-browser-information-discovery|T1217]]). Toda a comunicação com o servidor C2 é realizada via protocolo HTTP com exfiltração dos dados coletados ([[t1041-exfiltration-over-c2-channel|T1041]]) e capacidade de receber e executar payloads adicionais ([[t1105-ingress-tool-transfer|T1105]]). A existência do MobileOrder demonstra como grupos APT expandem seu arsenal para plataformas móveis como complemento às operações em desktops, especialmente quando os alvos - como ativistas e jornalistas - frequentemente usam smartphones como dispositivos primários de comunicação. O comprometimento móvel oferece acesso a chamadas, mensagens e dados de localização que não estariam disponíveis em um comprometimento de desktop convencional. ## Técnicas Utilizadas - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] ## Grupos que Usam - [[g0029-scarlet-mimic|Scarlet Mimic]] ## Detecção A detecção do MobileOrder em dispositivos Android envolve monitoramento de aplicativos com permissões excessivas (acesso a contatos, arquivos, localização, microfone e câmera simultaneamente), análise de tráfego de rede de dispositivos móveis para comúnicações C2 anômalas e verificação de instalação de APKs fora de lojas oficiais (sideloading). Soluções de Mobile Device Management (MDM) com análise comportamental e plataformas de Mobile Threat Defense (MTD) são controies preventivos eficazes para ambientes corporativos. ## Relevância LATAM/Brasil Embora o [[g0029-scarlet-mimic|Scarlet Mimic]] foque principalmente em ativistas e grupos políticos na Ásia, as técnicas do MobileOrder são replicadas por grupos de espionagem com alvos em defensores de direitos humanos e jornalistas globalmente. No Brasil, grupos similares de stalkerware e spyware móvel representam ameaça ativa para ativistas, defensores de direitos humanos e jornalistas. A Anistia Internacional e o Citizen Lab documentaram o uso de ferramentas similares contra brasileiros, tornando o estudo do MobileOrder relevante para a comunidade de segurança digital no Brasil. ## Referências - [MITRE ATT&CK - S0079](https://attack.mitre.org/software/S0079) - [Palo Alto Unit 42 - Scarlet Mimic: Years-Long Espionage Campaign Targets Minority Activists](https://unit42.paloaltonetworks.com/scarlet-mimic-years-long-espionage-targets-minority-activists/)