# MESSAGETAP > Tipo: **malware** · S0443 · [MITRE ATT&CK](https://attack.mitre.org/software/S0443) ## Descrição [[s0443-messagetap|MESSAGETAP]] é uma família de malware de mineração de dados implantada pelo [[g0096-apt41|APT41]] em redes de telecomúnicações para monitorar e salvar tráfego de SMS de números de telefone específicos, números IMSI ou mensagens que contenham palavras-chave específicas. Desenvolvido para operar em servidores Linux que executam o protocolo SS7 - infraestrutura crítica das operadoras de telefonia - o malware intercepta passivamente mensagens SMS sem requerer contato direto com os dispositivos alvo. O MESSAGETAP opera como uma biblioteca compartilhada carregada em processos de telecomúnicações legítimos, examinando todo o tráfego SMS em busca de correspondências com uma lista de vigilância pré-configurada. Mensagens que correspondem a número de telefone, IMSI ou palavras-chave são armazenadas localmente para exfiltração posterior, enquanto o malware remove rastros de acesso para dificultar a detecção forense. Essa abordagem confere ao [[g0096-apt41|APT41]] acesso a comúnicações de alvos de alto valor - incluindo diplomatas, políticos e executivos - sem despertar alertas nas extremidades da comunicação. A descoberta do MESSAGETAP em 2019 pela Mandiant revelou a extensão do comprometimento de infraestrutura de telecomúnicações pelo [[g0096-apt41|APT41]], grupo que opera simultaneamente como ator de espionagem estatal (nexo China) e grupo de crime cibernético financeiramente motivado. A capacidade de interceptar SMS é especialmente relevante para contornar autenticação de dois fatores baseada em mensagem de texto. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção A detecção do MESSAGETAP é desafiadora por sua operação passiva em infraestrutura de telecomúnicações. Indicadores incluem: presença de bibliotecas compartilhadas não autorizadas em processos SMSC, arquivos de log com padrões de remoção sistemática ([[t1070-004-file-deletion|T1070.004]]), e tráfego de rede anômalo saindo de servidores SS7 ([[t1040-network-sniffing|T1040]]). Monitoramento de integridade de binários em servidores Linux de telecomúnicações e auditoria de bibliotecas carregadas dinâmicamente são controles preventivos críticos. A presença de arquivos `key_word.txt`, `phone_list.txt` ou `IMSI_list.txt` em diretórios de sistema são IOCs documentados. ## Relevância LATAM/Brasil Embora as campanhas documentadas do MESSAGETAP tenham focado primariamente em operadoras de telecomúnicações na Ásia e em países com relevância geopolítica para a China, o padrão de ataque representa risco direto para operadoras brasileiras. O Brasil é o maior mercado de telecomúnicações da América Latina e sede de infraestrutura crítica de comúnicações regionais. O [[g0096-apt41|APT41]] demonstrou interesse em alvos latino-americanos em outras operações, e operadoras que transportam tráfego diplomático ou governamental devem considerar auditorias de segurança em suas plataformas SS7 e SMSC Linux. ## Referências - [MITRE ATT&CK - S0443](https://attack.mitre.org/software/S0443) - [Mandiant - MESSAGETAP: Who's Reading Your Text Messages?](https://www.mandiant.com/resources/blog/messagetap-who-is-reading-your-text-messages)