# T1430 - Location Tracking > [!warning] Rastreamento de Localização em Dispositivos Móveis > Adversários utilizam dados de **GPS**, **torres de celular** e **redes Wi-Fi** para rastrear a localização física de alvos via malware móvel — técnica central em operações de **espionagem estatal**, **stalkerware** e **fraudes financeiras** direcionadas geograficamente no Brasil e América Latina. ## Visão Geral A técnica T1430 descreve como adversários coletam dados de geolocalização de dispositivos móveis para rastrear os movimentos físicos de um alvo. Ao contrário de muitas técnicas de coleta que focam em dados digitais, essa técnica afeta diretamente a segurança física das vítimas — revelando padrões de deslocamento, localização de residências, escritórios e reuniões confidenciais. No contexto de ameaças avançadas, o rastreamento de localização é utilizado por **grupos de espionagem estatal** para monitorar dissidentes, jornalistas, funcionários governamentais e executivos corporativos. Operações como a [[operação-triangulation|Operation Triangulation]] — atribuída a um ator sofisticado e que explorou zero-days no iOS — demonstraram que até os dispositivos mais seguros são vulneráveis quando existe motivação e capacidade técnica suficientes. Para o contexto brasileiro e latino-americano, o rastreamento de localização aparece principalmente em duas modalidades: **stalkerware** (aplicativos de monitoramento abusivo usados em contextos de violência doméstica) e **fraudes financeiras** que utilizam a localização da vítima para direcionar ataques de engenharia social ou válidar transações fraudulentas em sistemas anti-fraude. ## Attack Flow ```mermaid graph TB IA["🎯 Initial Access<br/>App malicioso ou<br/>exploit de zero-day"] --> EX["⚡ Execution<br/>Requisição de permissão<br/>ACCESS_FINE_LOCATION"] EX --> P["🔒 Persistence<br/>Serviço em background<br/>ou WorkManager job"] P --> DE["🛡️ Defense Evasion<br/>Coleta discreta com<br/>baixo consumo de bateria"] DE --> COL["📍 Collection<br/>GPS + Cell towers<br/>+ Wi-Fi fingerprinting"] COL --> C2["📡 Command & Control<br/>Envio periódico de<br/>coordenadas ao C2"] C2 --> IMP["💥 Impact<br/>Vigilância física,<br/>stalking, fraude geo"] style COL fill:#e74c3c,color:#ecf0f1 style IA fill:#2c3e50,color:#ecf0f1 style EX fill:#2c3e50,color:#ecf0f1 style P fill:#2c3e50,color:#ecf0f1 style DE fill:#2c3e50,color:#ecf0f1 style C2 fill:#2c3e50,color:#ecf0f1 style IMP fill:#9b59b6,color:#ecf0f1 ``` ## Como Funciona ### Métodos de Coleta de Localização Dispositivos móveis oferecem múltiplos vetores para determinar localização, com diferentes níveis de precisão e diferentes requisitos de permissão: **1. GPS (Global Positioning System)** O método mais preciso (3-5 metros de acurácia). No Android, requer a permissão `ACCESS_FINE_LOCATION`. No iOS, requer permissão de localização "precisa". O GPS é mais lento para fixar posição (Time to First Fix — TTFF) e consome mais bateria, tornando-o detectável por anomalias de consumo energético. **2. Cell Tower Triangulation (Rede Celular)** Menos preciso (100-1000 metros), mas opera mesmo sem GPS ativo. O dispositivo consulta IDs de torres de celular (Cell ID) e intensidade de sinal para triangular posição via banco de dados de torres da operadora. Requer apenas `ACCESS_COARSE_LOCATION` no Android. Funciona em ambientes internos onde GPS falha. **3. Wi-Fi Positioning System (WPS)** Precisão intermediária (15-40 metros em áreas urbanas densas). O dispositivo escaneia BSSIDs (identificadores de redes Wi-Fi) visíveis e consulta bases de dados de geolocalização de Wi-Fi (como Google Location Services ou Apple Wi-Fi Positioning). No Android 10+, o scan de Wi-Fi em background requer `ACCESS_FINE_LOCATION`. Essa técnica funciona mesmo com Wi-Fi desconectado — apenas o scan passivo é suficiente. **4. Fusão de Sensores (Location Fusion)** Malware sofisticado combina os três métodos acima via a API `FusedLocationProviderClient` do Google (Android) ou `CLLocationManager` (iOS) para otimizar precisão vs. consumo de bateria, reduzindo a detectabilidade. ### Coleta em Background e Bypasses No Android 10+, coleta de localização em background requer a permissão especial `ACCESS_BACKGROUND_LOCATION`, que o sistema exibe com aviso explícito ao usuário. Adversários contornam essa restrição de diversas formas: - **Foreground Services com notificação persistente:** Manter um serviço visível (com ícone na barra de status) para coletar localização em foreground continuamente - **WorkManager / JobScheduler:** Agendar jobs periódicos que acordam brevemente para coletar posição e voltam a dormir - **Geofencing API:** Registrar zonas geográficas de interesse; o sistema acorda o app automaticamente quando o dispositivo entra ou sai da zona — sem coleta contínua que possa alertar o usuário - **Abuso de Accessibility Service:** Via [[t1417-input-capture-android|T1417]], o serviço de acessibilidade pode acessar localização em background com menos restrições em versões mais antigas No iOS, as restrições são mais rígidas: o indicador de localização (ícone de seta) é exibido no status bar sempre que um app acessa localização. Implants sofisticados como o **Pegasus** (NSO Group) e o malware da **Operation Triangulation** exploraram zero-days no kernel do iOS para coletar localização sem ativar esse indicador. ## Detecção A detecção de rastreamento de localização requer análise comportamental e controles MDM: - **Indicadores de permissão:** Monitorar via MDM quais apps possuem `ACCESS_FINE_LOCATION` + `ACCESS_BACKGROUND_LOCATION` + permissão de Internet. Qualquer app desconhecido com essa tríade deve ser investigado - **Anomalias de bateria:** Coleta contínua de GPS drena bateria de forma mensurável. Correlacionar alto consumo de bateria de apps em background com ausência de funcionalidade justificável - **Tráfego de rede periódico:** Coleta de localização em batch tipicamente gera requisições HTTP/HTTPS regulares (a cada 1-15 minutos) para IPs fixos. Analisar padrões de beacon em logs de DNS e proxy - **Indicador de localização (iOS):** No iOS, auditar regularmente o histórico de acesso à localização em Ajustes > Privacidade > Localização. Indicadores persistentes de apps em background são anomalia - **MTD (Mobile Threat Defense):** Soluções como Zimperium, Lookout e Jamf Threat Defense detectam comportamentos de coleta anômala via análise comportamental on-device ## Mitigação Mitigações mapeadas no MITRE ATT&CK para T1430: - [[m1011-user-guidance|M1011 - User Guidance]]: Educar usuários para rever periodicamente permissões de localização, revogar acesso para apps não essenciais e questionar solicitações de localização em background por apps utilitários. - [[m1012-enterprise-policy|M1012 - Enterprise Policy]]: Em dispositivos corporativos, implementar políticas MDM que restrinjam acesso a localização apenas para apps corporativos aprovados. Proibir instalação de apps fora de stores corporativas. Controles adicionais recomendados: - Habilitar **"Localização Precisa: Desativada"** para apps que não necessitam de coordenadas exatas (ex: apps de clima, lojas) - Usar **VPN corporativa** em dispositivos gerenciados para dificultar correlação de IP com localização geográfica - Para alvos de alto risco (executivos, jornalistas, ativistas): considerar uso de dispositivos dedicados com modo avião ativo em reuniões sensíveis e revisão periódica por especialistas em segurança mobile ## Contexto LATAM > [!latam] Relevância para Brasil e América Latina > O Brasil registra uma das maiores prevalências de **stalkerware** do mundo — aplicativos como **SpyFone**, **mSpy** e dezenas de variantes locais são amplamente usados em contextos de violência doméstica e monitoramento abusivo de parceiros. Organizações como **SaferNet Brasil** e **Instituto Patrícia Galvão** documentam o fenômeno. No contexto de espionagem corporativa e política na América Latina, atores patrocinados por estados utilizaram ferramentas de rastreamento móvel contra jornalistas, ativistas e figuras políticas — o grupo **Candiru** vendeu tecnologia de rastreamento para governos da região. A **LGPD** (Lei Geral de Proteção de Dados) proíbe coleta de localização sem consentimento explícito, mas a fiscalização ainda é limitada. ## Referências - [MITRE ATT&CK T1430](https://attack.mitre.org/techniques/T1430/) — Location Tracking (Mobile) - [Kaspersky - Operation Triangulation: iOS Zero-Day Analysis](https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/) - [NSO Group Pegasus - Citizen Lab Research](https://citizenlab.ca/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/) - [Zimperium - Mobile Location Tracking Threat Analysis](https://www.zimperium.com/blog/location-tracking-mobile-threats/) - [SaferNet Brasil - Stalkerware Report 2024](https://new.safernet.org.br/) - [Google Android Location Permissions Guide](https://developer.android.com/training/location/permissions) - [Apple iOS Location Services Documentation](https://developer.apple.com/documentation/corelocation)