# T1636.004 - Collection: SMS Messages > [!danger] Coleta Móvel - Severidade Crítica > Malware lê e exfiltra mensagens SMS do dispositivo para capturar códigos de autenticação bancária, tokens OTP e informações financeiras sensíveis. ## Visão Geral A sub-técnica **Protected User Data: SMS Messages** (T1636.004) descreve a capacidade de malware móvel de ler, interceptar e exfiltrar mensagens SMS armazenadas ou recebidas no dispositivo da vítima. Esta é uma das técnicas mais críticas no contexto de fraude financeira móvel, pois SMS continua sendo amplamente utilizado como segundo fator de autenticação (2FA) por bancos e serviços online. No Android, o malware pode acessar mensagens SMS de duas formas principais: registrando um `BroadcastReceiver` para `SMS_RECEIVED` (interceptação em tempo real de novas mensagens) ou consultando o `content://sms` content provider (leitura de mensagens já armazenadas). A interceptação em tempo real é especialmente perigosa porque permite capturar códigos OTP antes mesmo que o usuário os visualize. Combinada com a permissão `RECEIVE_SMS`, o malware pode até impedir que a notificação de SMS chegue ao usuário. Esta técnica é complementar à [[t1582-sms-control|T1582 - SMS Control]] (que foca no envio e manipulação ativa de SMS) e à [[t1636-contact-list|T1636 - Contact List]] (que coleta os destinatários). Juntas, estas técnicas formam o núcleo operacional de banking trojans que dependem do comprometimento do canal SMS para executar fraudes financeiras. O impacto desta técnica se estende além da interceptação de tokens: mensagens SMS frequentemente contêm confirmações de transações, alertas bancários, senhas temporárias e até dados pessoais compartilhados em conversas. A exfiltração deste conteúdo fornece ao atacante um panorama completo da vida financeira e pessoal da vítima, facilitando ataques de [[t1566-phishing|engenharia social]] subsequentes. ## Attack Flow ```mermaid graph TB A["📱 Infecção<br/>APK malicioso<br/>instalado no dispositivo"] --> B["🔐 Permissões<br/>READ_SMS + RECEIVE_SMS<br/>concedidas pelo usuário"] B --> C["📩 Interceptação Real-Time<br/>BroadcastReceiver captura<br/>SMS recebidos"] B --> D["📂 Leitura Histórica<br/>ContentProvider extrai<br/>SMS armazenados"] C --> E["🔑 Token Capture<br/>Códigos OTP bancários<br/>interceptados em segundos"] D --> F["📊 Data Mining<br/>Análise de padrões<br/>financeiros e pessoais"] E --> G["💸 Fraude PIX<br/>Transferência fraudulenta<br/>com token roubado"] F --> G classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef collection fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef default fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A default class B default class C collection class D collection class E attack class F attack class G impact ``` **Legenda:** [[t1566-phishing|T1566]] (infecção) - [[t1636-004-sms-messages|T1636.004]] (coleta SMS, destacado) - [[t1582-sms-control|T1582]] (controle SMS) - [[t1437-application-layer-protocol|T1437]] (exfiltração) ## Detecção | Método | Fonte de Dados | Descrição | |--------|---------------|-----------| | Permission Monitoring | PackageManager | Apps com `READ_SMS` + `RECEIVE_SMS` que não são apps de mensagens | | BroadcastReceiver Audit | Manifest Analysis | Receivers registrados para `SMS_RECEIVED` com prioridade alta | | Content Provider Access | SMS Provider Logs | Acesso em massa ao content provider `content://sms` | | Network Correlation | Traffic Analysis | Dados SMS-like (códigos OTP, padrões numéricos) em tráfego de saída | | Notification Suppression | NotificationManager | SMS recebido sem notificação correspondente ao usuário | ### Regra Sigma (Android Logs) ```yaml title: Detecção de Interceptação de SMS Android id: e1b7c5d6-2f8a-4b9c-d3a4-5f6a7b8c9d04 status: experimental description: Detecta interceptação e exfiltração de mensagens SMS em dispositivos Android references: - https://attack.mitre.org/techniques/T1636/004/ logsource: product: android service: telephony detection: selection_sms_receiver: event_type: "broadcast_receiver_registered" intent_filter: "android.provider.Telephony.SMS_RECEIVED" receiver_priority|gte: 999 package_name|ne: - "com.google.android.apps.messaging" - "com.samsung.android.messaging" selection_bulk_sms_read: content_uri: "content://sms" operation: "query" rows_accessed|gte: 20 calling_package|ne: - "com.google.android.apps.messaging" - "com.samsung.android.messaging" - "com.android.mms" selection_otp_exfil: event_type: "sms_received" sms_body|re: "\\b\\d{4,8}\\b" followed_by: event_type: "network_request" timeframe: "10s" condition: selection_sms_receiver or selection_bulk_sms_read or selection_otp_exfil falsepositives: - Apps de backup de SMS autorizados - Aplicativos de autenticação legítimos que leem OTP automaticamente - Google Messages e apps de mensagens OEM level: critical tags: - attack.collection - attack.t1636.004 ``` ## Mitigação - **[[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]]** - **Prioridade máxima**: migrar de SMS-OTP para TOTP (Google Authenticator, Authy) ou FIDO2/passkeys - **[[m1011-user-guidance|M1011 - User Guidance]]** - Alertar que apps legítimos raramente precisam de permissão SMS; questionar toda solicitação - **[[m1006-use-recent-os-version|M1006 - Use Recent OS Version]]** - Android 12+ restringe leitura de notificações e interceptação de SMS em background - **Permissões runtime** - Negar `READ_SMS` e `RECEIVE_SMS` a qualquer app que não seja o app de mensagens padrão - **MDM Policies** - Configurar lista branca de apps autorizados a acessar SMS em dispositivos corporativos - **Push notifications** - Substituir SMS-OTP por push notifications para autenticação em apps bancários - **Alertas de transação** - Configurar alertas de transação via app (não SMS) para detecção rápida de fraude ## Relevância LATAM/Brasil A interceptação de SMS é a técnica **mais diretamente vinculada a perdas financeiras** no ecossistema de ameaças móveis brasileiro. O Brasil possui mais de 150 milhões de usuários de mobile banking, e a maioria dos bancos brasileiros - incluindo Banco do Brasil, Caixa, Bradesco e Itaú - ainda oferecem SMS como opção de segundo fator de autenticação. O cenário de ataque mais comum envolve três etapas: (1) distribuição de APK malicioso via mensagem de WhatsApp simulando uma atualização bancária ou notificação governamental, (2) obtenção de permissões SMS pelo malware que se apresenta como app de segurança, e (3) interceptação do token OTP em tempo real durante uma tentativa de login fraudulento na conta bancária da vítima. Com o sistema **PIX** processando transferências em menos de 10 segundos, a janela entre a interceptação do token SMS e a execução da transferência fraudulenta é extremamente curta. Banking trojans como [[s0531-grandoreiro]], [[brata]] e [[ghimob]] automatizam completamente este fluxo: o malware detecta o SMS com o código OTP, extrai o token via regex, e o submete ao servidor C2 que está executando a transação fraudulenta na sessão bancária comprometida. Um agravante é que muitos brasileiros utilizam o mesmo dispositivo para SMS e banking app, eliminando a separação de canais que poderia mitigar o ataque. O CERT.br e a FEBRABAN recomendam fortemente a migração para autenticação baseada em app, mas a adoção ainda é lenta, especialmente entre usuários de menor familiaridade tecnológica. A [[t1636-contact-list|coleta de contatos]] complementa esta técnica: após obter a lista de SMS e contatos, o malware pode personalizar ataques futuros usando informações extraídas das conversas SMS da vítima. ## Referências - [MITRE ATT&CK - T1636.004](https://attack.mitre.org/techniques/T1636/004/) - [Kaspersky - BRATA Android Trojan](https://securelist.com/brata-evolved-into-an-advanced-persistent-threat/105937/) - [Kaspersky - Tetrade Banking Trojans](https://securelist.com/the-tetrade-brazilian-banking-malware/97779/) - [ESET - Banking Trojans LATAM](https://www.welivesecurity.com/la-es/) - [Android Developers - SMS Provider](https://developer.android.com/reference/android/provider/Telephony.Sms) - [CERT.br - Fraudes Bancárias Móveis](https://www.cert.br/) - [FEBRABAN - Segurança Digital](https://portal.febraban.org.br)