det0102-behavioral-detection-of-input-capture-across-platforms

# DET0102 — Behavioral Detection of Input Capture Across Platforms ## Descrição Esta estratégia detecta captura de input do usuário de forma abrangente — teclado, mouse, tela sensível ao toque e campos de formulário web — em Windows, macOS, Linux e Android/iOS. A cobertura cross-platform é necessária pois diferentes plataformas expõem mecanismos distintos de captura: hooks de teclado no Windows, Accessibility API no macOS, EventTap no macOS/Linux, e AccessibilityService no Android. Os vetores de captura mais frequentes incluem: credential harvesting via formulários web falsos (browser-in-the-browser), hooks de keyboard/mouse para espionagem geral, e captura de campos de senha de aplicações específicas via acessibilidade. Em plataformas móveis, abuso de AccessibilityService no Android é dominante — aplicações maliciosas solicitam permissão de acessibilidade e capturam tudo que aparece na tela. A telemetria primária varia por plataforma: Windows utiliza Sysmon e EDR para hooks; macOS monitora uso de CGEventTap e Accessibility grants; Android requer análise de manifesto e logs de uso de AccessibilityService. A estratégia correlaciona indicadores de captura com comunicação de rede periódica para exfiltração. Banker trojans brasileiros como [[s0531-grandoreiro]] e [[mekotio]] e infostealers globais como [[s1207-xloader|formbook]] combinam múltiplos vetores de input capture. ## Indicadores de Detecção - Instalação de hooks `WH_KEYBOARD_LL` ou `WH_MOUSE_LL` por processos sem interface gráfica legítima - Concessão de permissão de Accessibility (TCC) a aplicações não assinadas ou de fontes não-AppStore no macOS - AccessibilityService Android habilitado para aplicativo fora de lista de aprovação corporativa (MDM) - Processo realizando captura de campos de senha via `SendMessage(WM_GETTEXT)` em janelas de login - Comúnicação periódica de rede (beaconing de 30-300 segundos) com dados de pequeno tamanho de processo sem função de rede esperada - APIs de captura de formulário web injetadas em processos de browser via DLL injection ## Técnicas Relacionadas - [[t1056-input-capture]] — Categoria pai - [[t1056001-keylogging]] — Keylogging como sub-técnica - [[t1056002-gui-input-capture]] — Captura de GUI (formulários falsos) - [[t1056003-web-portal-capture]] — Captura de portal web - [[t1056004-credential-api-hooking]] — Hooking de APIs de credenciais ## Analytics Relacionadas - [[an0282-analytic-0282|AN0282 — Analytic 0282]] - [[an0283-analytic-0283|AN0283 — Analytic 0283]] - [[an0284-analytic-0284|AN0284 — Analytic 0284]] - [[an0285-analytic-0285|AN0285 — Analytic 0285]] --- *Fonte: [MITRE ATT&CK — DET0102](https://attack.mitre.org/detectionstrategies/DET0102)*