# T1533 - Data from Local System > [!warning] Exfiltração de Dados do Dispositivo Móvel > Adversários exploram permissões legítimas e vulnerabilidades para acessar o sistema de arquivos de dispositivos Android e iOS, coletando fotos, documentos, bancos de dados de aplicativos, chaves de criptografia, histórico de navegação e dados corporativos armazenados localmente antes de exfiltrar para infraestrutura de comando e controle. ## Visão Geral A técnica T1533 descreve a coleta de dados armazenados localmente em dispositivos móveis comprometidos. Diferentemente de plataformas desktop, os sistemas operacionais móveis implementam modelos de sandbox rígidos que, em teoria, isolam os dados de cada aplicativo. Na prática, adversários contornam essas proteções por três caminhos principais: abuso de permissões de armazenamento externo, exploração de vulnerabilidades para escapar do sandbox, e uso de serviços de acessibilidade para ler dados de outras aplicações em tempo de execução. No Android, a permissão `READ_EXTERNAL_STORAGE` (ou `READ_MEDIA_*` no Android 13+) concede acesso a fotos, vídeos, documentos e downloads do dispositivo. Trojans bancários como [[anubis-banking-trojan]] e [[cerberus-trojan]] combinam esta permissão com acesso ao `ContentProvider` para extrair registros de chamadas, contatos, SMS e galeria de mídia em uma única rotina de exfiltração. Dados de aplicativos no armazenamento interno (`/data/data/<package>/`) exigem permissões de root ou exploração de vulnerabilidades, alvos frequentes de APTs com capacidades avançadas. No iOS, spywares de nível estado-nação como [[pegasus-spyware]] exploram vulnerabilidades de zero-click para acessar dados protegidos pelo iOS Data Protection: backups de iCloud locais, banco de dados do iMessage, fotos em formato HEIC, e até conteúdo do keychain com credenciais armazenadas. A [[operation-triangulation]] revelada pela Kaspersky em 2023 demonstrou capacidades inéditas de acesso a dados de sistema no iOS, incluindo extração de dados de aplicativos de mensagens via exploração de múltiplos zero-days encadeados. Para organizações com presença no LATAM, a coleta de dados locais representa um vetor crítico de espionagem corporativa e roubo de propriedade intelectual. ## Attack Flow ```mermaid graph TB A["🎯 Malware Instalado<br/>App malicioso / exploit<br/>drive-by ou phishing"] --> B["🔑 Escalada de Acesso<br/>Permissões de armazenamento<br/>ou root / jailbreak"] B --> C["🗂️ Enumeração do Sistema<br/>Identificar arquivos de valor:<br/>fotos, DBs, documentos"] C --> D["📦 Coleta Seletiva<br/>Filtrar por extensão, tamanho<br/>e data de modificação"] D --> E["🔐 Empacotamento<br/>ZIP cifrado / chunking<br/>para bypass de limites"] E --> F["📤 Exfiltração C2<br/>HTTPS / Telegram API<br/>/ DNS over HTTPS"] style A fill:#e74c3c,color:#ecf0f1 style B fill:#e67e22,color:#ecf0f1 style C fill:#9b59b6,color:#ecf0f1 style D fill:#e74c3c,color:#ecf0f1 style E fill:#2c3e50,color:#ecf0f1 style F fill:#3498db,color:#ecf0f1 ``` ## Como Funciona ### Android - Permissões de Armazenamento O sistema de permissões do Android é o principal vetor de abuso para coleta de dados locais. As permissões mais críticas abusadas por malware incluem: | Permissão | Dados Acessíveis | Risco | |-----------|-----------------|-------| | `READ_MEDIA_IMAGES` | Fotos, screenshots, documentos escaneados | Alto | | `READ_MEDIA_VIDEO` | Vídeos, gravações de reuniões | Alto | | `READ_CONTACTS` | Agenda completa para campanhas de spam/phishing | Alto | | `READ_CALL_LOG` | Histórico de chamadas, números de contato | Médio | | `READ_SMS` | SMS incluindo OTPs bancários | Crítico | | `READ_EXTERNAL_STORAGE` (legado) | Todo armazenamento externo e Downloads | Alto | ### Android - ContentProvider e Bancos de Dados O `ContentProvider` é uma API legítima para compartilhamento de dados entre apps. Malware o usa para consultar: - `content://sms/` - mensagens SMS e OTPs - `content://contacts/` - agenda de contatos completa - `content://call_log/` - registros de chamadas - `content://media/external/` - arquivos de mídia Trojans avançados como [[anubis-banking-trojan]] acessam o diretório `/sdcard/` para coletar documentos ``.pdf``, `.docx` e planilhas Excel que possam conter senhas, dados fiscais ou contratos corporativos — dados de alto valor para espionagem industrial. ### Android - Root e Armazenamento Interno Com privilégios de root (obtidos via exploit como [[cve-2023-32629|CVE-2023-32629]] ou similares), o malware pode acessar: - `/data/data/<package>/databases/` — bancos de dados SQLite de apps (incluindo WhatsApp, Signal) - `/data/data/<package>/shared_prefs/` — preferências e tokens de sessão - Keystore do Android com chaves criptográficas - Dados de aplicativos bancários, incluindo certificados de autenticação ### iOS - Estrutura Protegida e Exploração O iOS implementa quatro classes de proteção de dados (`NSFileProtectionComplete`, `NSFileProtectionCompleteUnlessOpen`, `NSFileProtectionCompleteUntilFirstUserAuthentication`, `NSFileProtectionNone`). Spywares como [[pegasus-spyware]] exploram vulnerabilidades para: - Acessar o banco de dados do Messages (`/var/mobile/Library/SMS/sms.db`) - Extrair fotos do Photo Library mesmo com proteção completa - Ler tokens de sessão de apps de mensagens (WhatsApp, Telegram, Signal) - Exportar conteúdo do Keychain com credenciais e certificados ### Técnica de Filtragem Inteligente APTs modernos não exfiltram dados indiscriminadamente — usam filtros para maximizar valor e minimizar detecção: ``` Critérios de seleção documentados em campanhas: - Extensões: .pdf, .docx, .xlsx, .key, .pem, .pfx, .wallet - Tamanho: arquivos entre 1KB e 50MB (evita executáveis) - Data: modificados nos últimos 90 dias - Localização: Downloads/, Documents/, Desktop/ - Palavras-chave em nomes: "contrato", "senha", "invoice", "backup" ``` ## Detecção ### Indicadores Comportamentais | Comportamento | Sinal | Severidade | |--------------|-------|-----------| | Leitura em lote de `ContentProvider` | Consultas SQL repetidas a `content://sms/` ou `content://contacts/` em background | Crítica | | Acesso a múltiplas extensões | App iterando sobre `/sdcard/` por tipo de arquivo sem interação do usuário | Alta | | Upload volumoso | Transferência de dados acima do baseline do app após acesso ao armazenamento | Alta | | Acesso a diretórios de outros apps | Tentativas de acesso a `/data/data/<outro-app>/` | Crítica | | Uso de SMS read sem função declarada | App com `READ_SMS` sem justificativa de negócio visível | Alta | ### Ferramentas e Controles de Detecção - **Android**: Google Play Protect (análise de permissões), soluções MTD como Zimperium ou Lookout com análise comportamental de acesso a arquivos - **iOS**: Sophos Intercept X Mobile, análise de tráfego de saída com inspeção TLS (via MDM proxy) - **MDM (Jamf, Intune, VMware Workspace ONE)**: políticas de prevenção de acesso a dados corporativos em apps não gerenciados, containerização de dados sensíveis - **Rede**: Detecção de uploads comprimidos periódicos (signature de `.zip` ou headers `multipart/form-data` em intervalos regulares) ## Mitigação | Controle | Mitigação MITRE | Descrição | |----------|----------------|-----------| | Políticas MDM | [[m1006-use-recent-os-version\|M1006]] | Atualizar SO e apps regularmente; aplicar patches de segurança via MDM | | Containerização | [[m1012-enterprise-policy\|M1012]] | Separar dados corporativos em container MDM (Samsung Knox, Workspace ONE) | | Controle de permissões | [[m1011-user-guidance\|M1011]] | Revogar permissões de `READ_EXTERNAL_STORAGE` em apps que não necessitam | | MTD corporativo | [[m1001-security-software\|M1001]] | Deploy de Mobile Threat Defense com análise comportamental em dispositivos BYOD | | DLP móvel | [[m1057-data-loss-prevention\|M1057]] | Implementar políticas de DLP que bloqueiem upload de dados corporativos por apps não autorizados | | Segmentação de rede | [[m1037-filter-network-traffic\|M1037]] | Bloquear acesso de apps não autorizados a endpoints externos em rede corporativa | ## Contexto LATAM > [!latam] Relevância Regional - Brasil e LATAM > No Brasil, a coleta de dados de dispositivos móveis está no centro de duas ameaças distintas: **fraude financeira** (trojans como Anubis, Cerberus e BrasDex coletando SMS com OTPs bancários e dados de contas PIX) e **espionagem corporativa** (APTs direcionados a executivos e governo coletando documentos sensíveis, contratos e comúnicações via apps de mensagens). A Apura Cyber Intelligence documentou campanhas em 2023-2024 onde operadores de ransomware como **RansomHub** realizaram exfiltração prévia de dados de dispositivos móveis de executivos antes de implantar ransomware em redes corporativas - uma técnica de pressão dupla. O CTIR Gov emitiu alertas sobre exfiltração móvel direcionada a servidores públicos federais usando apps de aparência legítima distribuídos via engenharia social em grupos de WhatsApp. ## Referências - [MITRE ATT&CK - T1533 Data from Local System](https://attack.mitre.org/techniques/T1533/) - [Anubis Android Banking Trojan - Threat Fabric](https://www.threatfabric.com/blogs/anubis-ii-banking-malware-targeting-android-users) - [Cerberus Android Trojan - ESET](https://www.welivesecurity.com/en/) - [Operation Triangulation - Kaspersky Research](https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/) - [Pegasus iOS Data Extraction - Citizen Lab](https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/) - [CTIR Gov - Alerta Dispositivos Móveis](https://ctir.gov.br) - [Apura Cyber Intelligence - Relatório Brasil 2023](https://apura.com.br) - [FEBRABAN - Fraude por SMS e Mobile](https://portal.febraban.org.br)