# T1437 - Application Layer Protocol
> [!warning] Técnica mobile de Command and Control na qual malware utiliza protocolos padrão da camada de aplicação (HTTP, HTTPS, DNS, MQTT) para comunicação C2, misturando tráfego malicioso com atividade legítima de rede.
## Visão Geral
A técnica **T1437 - Application Layer Protocol** descreve o uso de protocolos da camada de aplicação (Layer 7 do modelo OSI) por malware móvel para estabelecer comunicação com infraestrutura de comando e controle. Ao utilizar protocolos amplamente permitidos em firewalls e filtros de rede - como HTTP, HTTPS, DNS e WebSocket - o malware consegue atravéssar controles de segurança que normalmente bloqueariam tráfego em portas ou protocolos não padrão.
Esta é uma técnica-pai que engloba sub-técnicas mais específicas como [[t1437-001-web-protocols|T1437.001 - Web Protocols]]. A versatilidade da abordagem reside no fato de que protocolos da camada de aplicação são essenciais para o funcionamento de qualquer dispositivo móvel conectado à internet, tornando impossível simplesmente bloquear esses protocolos sem comprometer a usabilidade do dispositivo.
O malware móvel moderno frequentemente implementa múltiplos protocolos de fallback: se a comunicação HTTP primária falha, o malware pode alternar para DNS tunneling ou comunicação via WebSocket. Esta resiliência de comunicação é uma característica observada em famílias avançadas de malware bancário e spyware comercial como [[pegasus|Pegasus]] e ferramentas associadas ao grupo [[g0032-lazarus-group|Lazarus Group]].
No cenário brasileiro e latino-americano, esta técnica é onipresente em trojans bancários móveis que utilizam HTTP/HTTPS como canal primário de C2, frequentemente com servidores hospedados em infraestrutura de nuvem na própria região para reduzir latência e evitar bloqueios geográficos.
## Attack Flow
```mermaid
graph TB
A["🎯 Reconnaissance<br/>Mapeamento de alvos"] --> B["📦 Resource Development<br/>Infraestrutura C2 preparada"]
B --> C["📧 Initial Access<br/>Instalação de app malicioso"]
C --> D["💻 Execution<br/>Código malicioso ativado"]
D --> E["🔗 Command and Control<br/>Protocolo de camada de aplicação"]
E --> F["📤 Collection<br/>Captura de credenciais"]
F --> G["💀 Exfiltration<br/>Dados enviados ao C2"]
classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1
classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1
classDef highlight fill:#e67e22,stroke:#d35400,color:#ecf0f1
class A,B neutral
class C,D neutral
class E attack
class F,G highlight
```
## Detecção
| Método | Descrição | Fonte de Dados |
|--------|-----------|----------------|
| Análise de tráfego de rede | Identificar padrões anômalos em protocolos legítimos (volume, frequência, destino) | [[ds0029-network-traffic\|Network Traffic]] |
| Monitoramento de DNS | Detectar consultas DNS para domínios suspeitos ou DGA | [[ds0029-network-traffic\|Network Traffic]] |
| Inspeção de payload HTTP | Verificar conteúdo de requisições HTTP para dados codificados ou encriptados | [[ds0029-network-traffic\|Network Traffic]] |
| User-Agent analysis | Identificar user-agents não padrão ou inconsistentes com o tipo de dispositivo | [[ds0029-network-traffic\|Network Traffic]] |
| Análise comportamental | Detectar apps com comunicação de rede desproporcional à funcionalidade declarada | [[ds0041-application-vetting\|Application Vetting]] |
### Regra Sigma
```yaml
title: Mobile App Suspicious Application Layer Protocol Usage
id: a7b3c2d1-4e5f-6a7b-8c9d-0e1f2a3b4c5d
status: experimental
description: Detecta uso suspeito de protocolos da camada de aplicação por apps móveis
logsource:
category: proxy
product: network
detection:
selection_http:
cs-method:
- 'POST'
- 'PUT'
r-dns|re: '^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}