# T1437.001 - Application Layer Protocol: Web Protocols > [!warning] Sub-técnica mobile de C2 onde malware utiliza específicamente protocolos HTTP e HTTPS para comunicação com servidores de comando e controle, aproveitando a ubiquidade do tráfego web para se camuflar. ## Visão Geral A técnica **T1437.001 - Application Layer Protocol: Web Protocols** é uma sub-técnica de [[t1437-application-layer-protocol|T1437 - Application Layer Protocol]] que específica o uso de protocolos web (HTTP e HTTPS) como canal de comunicação C2 em dispositivos móveis. Esta é possívelmente a técnica de C2 mais comum em malware móvel, dado que práticamente todo dispositivo gera tráfego HTTP/HTTPS constantemente. O malware implementa esta técnica de diversas formas: requisições HTTP POST para endpoints de API simulando tráfego legítimo, requisições GET com dados codificados em parâmetros de URL, comunicação via WebSocket para controle em tempo real, ou mesmo abuso de APIs de serviços legítimos como Google Drive, Dropbox ou Firebase. A escolha de HTTP/HTTPS é estratégica porque este tráfego raramente é bloqueado em redes corporativas ou residenciais. A diferença em relação a [[t1521-001-web-protocols|T1521.001 - Encrypted Channel: Web Protocols]] é sutil mas importante: T1437.001 foca no uso do **protocolo web como transporte**, enquanto T1521.001 enfatiza a **encriptação** como mecanismo de evasão. Na prática, malware moderno frequentemente utiliza ambas simultaneamente - HTTPS fornece tanto o protocolo de transporte (T1437.001) quanto o canal encriptado (T1521.001). Grupos como [[g0121-sidewinder|SideWinder]] e [[g1028-apt-c-23|APT-C-23]] são conhecidos por utilizar esta técnica em campanhas de espionagem mobile, enquanto no cenário de cibercrime financeiro latino-americano, trojans bancários como [[s0531-grandoreiro|Grandoreiro]] e [[brata|BRATA]] dependem quase exclusivamente de HTTP/HTTPS para comunicação C2. ## Attack Flow ```mermaid graph TB A["🎯 Reconnaissance<br/>Seleção de alvos"] --> B["📦 Resource Development<br/>Servidor web C2 configurado"] B --> C["📧 Initial Access<br/>App trojanizado instalado"] C --> D["💻 Execution<br/>Malware inicia execução"] D --> E["🛡️ Defense Evasion<br/>Ofuscação de tráfego"] E --> F["🌐 Command and Control<br/>HTTP/HTTPS para C2"] F --> G["📋 Collection<br/>Dados coletados do dispositivo"] G --> H["📤 Exfiltration<br/>Exfiltração via web"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef highlight fill:#e67e22,stroke:#d35400,color:#ecf0f1 class A,B neutral class C,D,E neutral class F attack class G,H highlight ``` ## Detecção | Método | Descrição | Fonte de Dados | |--------|-----------|----------------| | Análise de User-Agent | Identificar user-agents inconsistentes com apps legítimos do dispositivo | [[ds0029-network-traffic\|Network Traffic]] | | Monitoramento de endpoints | Detectar comunicação HTTP com IPs/domínios em listas de IOC | [[ds0029-network-traffic\|Network Traffic]] | | Análise de padrão de beaconing | Identificar intervalos regulares de requisições HTTP indicando C2 | [[ds0029-network-traffic\|Network Traffic]] | | Inspeção de conteúdo HTTP | Detectar dados codificados em base64 ou encriptados em bodies de requisições | [[ds0029-network-traffic\|Network Traffic]] | | Vetting de aplicações | Analisar comportamento de rede de apps durante revisão de segurança | [[ds0041-application-vetting\|Application Vetting]] | | Análise de permissões | Identificar apps com permissão INTERNET que não deveriam necessitar de rede | [[ds0041-application-vetting\|Application Vetting]] | ### Regra Sigma ```yaml title: Mobile Malware HTTP/HTTPS C2 Commúnication Pattern id: d4e5f6a7-8b9c-0d1e-2f3a-4b5c6d7e8f9a status: experimental description: Detecta padrões de comúnicação HTTP/HTTPS típicos de malware móvel com C2 logsource: category: proxy product: network detection: selection_post: cs-method: 'POST' cs-uri|contains: - '/api/' - '/gate' - '/panel' - '/check' - '/update' selection_suspicious_ua: cs-user-agent|contains: - 'okhttp' - 'Dalvik' cs-user-agent|re: 'Dalvik/\d\.\d\.\d' selection_encoded_body: cs-content-type: - 'application/octet-stream' - 'application/x-www-form-urlencoded' sc-bytes|gte: 5000 condition: selection_post and (selection_suspicious_ua or selection_encoded_body) timeframe: 10m count: 3 falsepositives: - Apps Android legítimos usando OkHttp - Serviços de push notification level: medium tags: - attack.command_and_control - attack.t1437.001 ``` ## Mitigação - **Application Vetting** - Analisar comportamento de rede durante vetting de apps corporativos, verificando endpoints de comunicação ([[m1005-application-vetting\|M1005]]) - **SSL/TLS Inspection** - Implementar inspeção de tráfego HTTPS em ambientes corporativos para visibilidade do conteúdo - **DNS Filtering** - Bloquear domínios C2 conhecidos e categorias de domínios suspeitos - **Network Monitoring** - Implementar NDR (Network Detection and Response) para detecção de beaconing e exfiltração - **Allowlisting de apps** - Restringir aplicações permitidas em dispositivos corporativos via MDM ([[m1012-enterprise-policy\|M1012]]) - **Educação do usuário** - Treinar usuários para identificar apps suspeitos e evitar instalação de APKs fora da loja oficial ([[m1011-user-guidance\|M1011]]) ## Relevância LATAM/Brasil HTTP e HTTPS são os protocolos de C2 preferidos por grupos de cibercrime financeiro brasileiros. A infraestrutura de trojans bancários móveis na região apresenta características específicas que distinguem o cenário LATAM: **Abuso de serviços legítimos:** Malware brasileiro frequentemente utiliza serviços como Firebase, Telegram Bot API e plataformas de hospedagem gratuita como Netlify e Vercel para hospedar endpoints C2. Isso dificulta o bloqueio por domínio, já que bloquear esses serviços impactaria aplicações legítimas. **Painéis de controle regionais:** Grupos como os operadores de [[s0531-grandoreiro|Grandoreiro]] mantêm painéis web em português para controle dos dispositivos infectados, com funcionalidades específicas para fraude via PIX e transferências bancárias. **Cadeia de redirecionamento:** Uma técnica comum no Brasil é o uso de múltiplos redirecionamentos HTTP (URL shorteners, dynamic DNS, CDNs) antes de atingir o servidor C2 real, criando uma cadeia que dificulta a atribuição e o takedown da infraestrutura. A prevalência do Android no Brasil (aproximadamente 80% de market share) torna esta plataforma o alvo primário, e a facilidade de sideloading de APKs fora da Google Play Store amplia significativamente a superfície de ataque. ## Referências - [MITRE ATT&CK - T1437.001](https://attack.mitre.org/techniques/T1437/001/) - [MITRE ATT&CK Mobile - Web Protocols](https://attack.mitre.org/techniques/T1437/001/) - Tempest Security Intelligence - Relatórios sobre malware bancário brasileiro - CERT.br - Estatísticas de incidentes mobile no Brasil