# T1636 - Collection (Contact List) > [!warning] Coleta Móvel - Severidade Alta > Malware acessa a lista de contatos do dispositivo para mapear relacionamentos da vítima, viabilizar propagação via smishing e identificar alvos de alto valor. ## Visão Geral A técnica **Protected User Data: Contact List** (T1636) permite que malware móvel acesse e exfiltre a lista de contatos armazenada no dispositivo. Os dados coletados incluem nomes, números de telefone, endereços de e-mail e, em alguns casos, informações de organização e cargo profissional vinculados aos contatos. No Android, o acesso a contatos requer a permissão `READ_CONTACTS`, que é frequentemente concedida por usuários sem análise crítica. Uma vez obtida, o malware pode consultar o `ContactsContract` content provider para extrair toda a agenda do dispositivo. No iOS, o acesso é mais restritivo, mas aplicativos com a permissão correspondente podem igualmente acessar o AddressBook. A coleta de contatos serve a múltiplos propósitos ofensivos: **propagação** via envio de mensagens maliciosas (smishing) aos contatos da vítima usando [[t1582-sms-control|T1582 - SMS Control]], **engenharia social** direcionada ao usar nomes de contatos para personalizar ataques de [[t1566-phishing|phishing]], e **reconhecimento** para identificar alvos de alto valor (executivos, funcionários de bancos, profissionais de TI) na rede de relacionamentos. Esta técnica é frequentemente combinada com [[t1636-004-sms-messages|T1636.004 - SMS Messages]] para coletar o contexto das comúnicações e com [[t1513-screen-capture|T1513 - Screen Capture]] para capturar informações adicionais. A exfiltração dos dados de contato geralmente ocorre via [[t1437-application-layer-protocol|T1437 - Application Layer Protocol]] para servidores C2. ## Attack Flow ```mermaid graph TB A["📱 Infecção<br/>APK via WhatsApp<br/>ou loja falsa"] --> B["🔐 Permissões<br/>Solicita acesso a<br/>contatos e SMS"] B --> C["📋 Coleta Contatos<br/>Exfiltra toda a agenda<br/>via ContactsContract API"] C --> D["📡 Exfiltração<br/>Lista enviada ao<br/>servidor C2"] D --> E["📤 Smishing<br/>SMS malicioso enviado<br/>para contatos da vítima"] D --> F["🎯 Target Profiling<br/>Identificação de alvos<br/>de alto valor"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef collection fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef default fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A default class B default class C collection class D collection class E impact class F impact ``` **Legenda:** [[t1566-phishing|T1566]] (infecção) - [[t1636-contact-list|T1636]] (coleta, destacado) - [[t1582-sms-control|T1582]] (smishing) - [[t1437-application-layer-protocol|T1437]] (exfiltração) ## Detecção | Método | Fonte de Dados | Descrição | |--------|---------------|-----------| | Permission Monitoring | PackageManager | Apps com `READ_CONTACTS` que não são apps de comunicação legítimos | | Content Provider Access | ContactsContract Logs | Acesso em massa ao content provider de contatos (leitura de todos os registros) | | Network Analysis | Traffic Inspector | Exfiltração de dados estruturados (JSON/CSV) contendo informações de contato | | Behavioral Analysis | App Behavior Monitor | Acesso a contatos seguido imediatamente de atividade de rede | | Volume Analysis | API Call Counter | Leitura sequencial de todos os contatos em curto período de tempo | ### Regra Sigma (Android Logs) ```yaml title: Detecção de Exfiltração de Lista de Contatos Android id: d0a6b4c5-1e7f-4a8b-c293-4e5f6a7b8c93 status: experimental description: Detecta acesso em massa e potencial exfiltração de lista de contatos em dispositivos Android references: - https://attack.mitre.org/techniques/T1636/ logsource: product: android service: contentprovider detection: selection_bulk_read: content_uri: "content://com.android.contacts/contacts" operation: "query" rows_accessed|gte: 50 selection_export_pattern: content_uri: "content://com.android.contacts/contacts" operation: "query" calling_package|ne: - "com.google.android.contacts" - "com.samsung.android.contacts" - "com.whatsapp" - "com.android.contacts" selection_network_after_contacts: event_sequence: - contacts_accessed: true - network_request: true timeframe: "30s" condition: (selection_bulk_read and selection_export_pattern) or selection_network_after_contacts falsepositives: - Sincronização de contatos com serviços de cloud legítimos - Apps de backup autorizados - Migração de contatos entre dispositivos level: high tags: - attack.collection - attack.t1636 ``` ## Mitigação - **[[m1011-user-guidance|M1011 - User Guidance]]** - Orientar usuários a avaliar criticamente solicitações de permissão de contatos por apps que não necessitam dessa funcionalidade - **[[m1006-use-recent-os-version|M1006 - Use Recent OS Version]]** - Android 11+ permite conceder permissão de contatos de forma granular (somente enquanto o app está em uso) - **MDM/Permission Policies** - Restringir concessão de `READ_CONTACTS` apenas a apps aprovados pela organização - **Segmentação de contatos** - Manter contatos corporativos sensíveis em perfil de trabalho separado (Android Work Profile) - **Monitoramento de exfiltração** - Soluções de DLP mobile que detectem exportação em massa de dados de contato - **Google Play Protect** - Manter habilitado para detecção de apps com comportamento de coleta abusiva ## Relevância LATAM/Brasil A coleta de listas de contatos é uma técnica fundamental na cadeia de propagação de malware móvel na América Latina. O Brasil apresenta características que amplificam o impacto desta técnica: uso massivo de WhatsApp (presente em 99% dos smartphones), cultura de compartilhamento de contatos e confiança em mensagens recebidas de contatos conhecidos. O **FluBot**, que causou ondas significativas de infecção na região, utilizava a lista de contatos como vetor primário de propagação: após infectar um dispositivo, enviava SMS maliciosos para todos os contatos usando [[t1582-sms-control|T1582]], criando efeito de cascata exponencial. A confiança do destinatário ao receber uma mensagem de um contato conhecido aumenta drasticamente a taxa de conversão do [[t1566-phishing|phishing]]. Banking trojans brasileiros como [[s0531-grandoreiro]] e [[ghimob]] coletam contatos para fins de **profiling**: identificar contatos que trabalham em bancos, fintechs ou empresas de tecnologia permite ao atacante priorizar alvos com acesso privilegiado a sistemas financeiros. Contatos corporativos também são usados para ataques de BEC (Business Email Compromise) direcionados. A prevalência de grupos de WhatsApp (família, trabalho, igreja, condomínio) no Brasil significa que uma única infecção pode expor centenas de contatos com relacionamentos de confiança estabelecidos, criando um terreno fértil para engenharia social em escala. ## Referências - [MITRE ATT&CK - T1636](https://attack.mitre.org/techniques/T1636/) - [ESET - FluBot Campaign Analysis](https://www.welivesecurity.com/la-es/) - [Kaspersky - Tetrade Banking Trojans](https://securelist.com/) - [Android Developers - ContactsContract](https://developer.android.com/reference/android/provider/ContactsContract) - [CERT.br - Alertas de Segurança Móvel](https://www.cert.br/)