t1573-symmetric-cryptography

# T1573 - Encrypted Channel (Mobile) > [!warning] Técnica de Comando e Controle - Mobile > Malware móvel utiliza canais criptografados para comunicação com servidores C2, dificultando a inspeção de tráfego e a detecção por soluções de segurança de rede. Técnica parent que abrange criptografia simétrica e assimétrica em plataformas móveis. ## Visão Geral O canal criptografado em dispositivos móveis (Android e iOS) é a técnica parent que engloba métodos de criptografia utilizados por malware mobile para proteger a comunicação com infraestrutura de Comando e Controle (C2). Diferente de ambientes desktop, dispositivos móveis apresentam desafios únicos para defensores: limitações de visibilidade de rede, sandboxing de aplicativos e restrições de monitoramento em tempo real. Adversários implementam criptografia em comúnicações C2 móveis para ocultar comandos enviados ao dispositivo comprometido, exfiltrar dados sensíveis (mensagens, contatos, localização, gravações) sem detecção, e evitar bloqueio por soluções de filtragem de rede. A sub-técnica [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] detalha o uso específico de algoritmos como AES e ChaCha20. Grupos de espionagem como [[g0007-apt28|APT28]] (com o malware X-Agent mobile), [[g0016-apt29|APT29]] e [[g0094-kimsuky|Kimsuky]] utilizam extensivamente canais criptografados em suas operações de espionagem móvel. O [[g0032-lazarus-group|Lazarus Group]] emprega criptografia customizada em seus implantes Android voltados para o setor de criptomoedas. A diferença fundamental entre o T1573 (mobile) e o [[t1521-encrypted-channel|T1521]] é que o T1573 foca na criptografia do payload/dados dentro do canal, enquanto o T1521 abrange o uso do canal criptografado em si (TLS/SSL) como mecanismo de ocultação. ## Attack Flow ```mermaid graph TB subgraph "Acesso Inicial" A["📱 App Malicioso Instalado Sideloading ou loja oficial"] end subgraph "Estabelecimento C2" B["🔑 Geração/Troca de Chaves Hardcoded ou negociação"] C["🔐 Canal Criptografado AES/ChaCha20 sobre HTTPS"] end subgraph "Operação" D["📡 Beacon Periódico Heartbeat criptografado"] E["📥 Comandos Recebidos Instruções do operador"] F["📤 Exfiltração de Dados Contatos, SMS, localização"] end A --> B --> C --> D D --> E D --> F classDef initial fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef c2 fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef operation fill:#e67e22,stroke:#d35400,color:#ecf0f1 class A initial class B,C c2 class D,E,F operation ``` ## Métodos de Criptografia em Malware Mobile | Algoritmo | Uso Comum | Exemplos de Malware | |-----------|-----------|-------------------| | **AES-128/256** | Criptografia de payload C2 | Pegasus, X-Agent, Anubis banking trojan | | **ChaCha20** | Stream cipher leve para mobile | Implantes modernos de APTs | | **XOR customizado** | Ofuscação básica de dados | Banking trojans brasileiros, malware commodity | | **RC4** | Legacy, ainda presente | Malware Android mais antigo | | **RSA + AES** | Troca de chaves + sessão | Implantes sofisticados de espionagem | ### Vetores de Instalação Mobile Malware que utiliza canais criptografados chega ao dispositivo por: 1. **Sideloading** - APK fora da Play Store, comum em regiões onde lojas alternativas são populares 2. **Phishing via SMS/WhatsApp** - Links para download de apps falsos via [[t1566-phishing|T1566]] 3. **Watering hole** - Sites comprometidos que servem payloads mobile 4. **Play Store** - Apps maliciosos que passam pela revisão do Google (cada vez mais raro) 5. **Exploit chains** - Zero-click exploits (como Pegasus) que não requerem interação ## Detecção | Método | Fonte de Dados | Indicadores | |--------|----------------|-------------| | Análise de tráfego | MDM/Firewall corporativo | Comúnicação criptografada com IPs/domínios não-categorizados | | Análise de apps | Sandbox mobile (VirusTotal) | Uso de APIs de criptografia com chaves hardcoded | | Behavioral analysis | UEM/MTD solutions | Apps com comunicação de rede anômala em background | | Certificate pinning | Proxy inspection | Apps que rejeitam inspeção TLS (certificate pinning) | | Battery/data usage | MDM telemetry | Consumo anormal de bateria/dados por apps desconhecidos | ### Regra Sigma ```yaml title: Comúnicação Criptografada Suspeita de App Mobile id: 3c5d7e9f-4a2b-4c6d-8e0f-1a2b3c4d5e6f status: experimental description: Detecta padrões de comúnicação criptografada de apps mobile com C2 logsource: category: firewall product: network detection: selection: dst_port: - 443 - 8443 - 4443 filter_known: dst_ip|cidr: - '142.250.0.0/15' # Google - '157.240.0.0/16' # Meta - '17.0.0.0/8' # Apple selection_frequency: # Beacons regulares (intervalo fixo) event_count|gte: 100 timeframe: 1h condition: selection and not filter_known and selection_frequency falsepositives: - Apps legítimos com update checks frequentes - VPN corporativa level: medium tags: - attack.command_and_control - attack.t1573 ``` ## Mitigação - **Mobile Device Management (MDM)** - Implementar solução MDM para controlar instalação de apps e monitorar comúnicações de rede via políticas corporativas - **Mobile Threat Defense (MTD)** - Soluções como Lookout, Zimperium ou CrowdStrike Falcon Mobile para detecção de malware em dispositivos - **Restrição de sideloading** - Desabilitar instalação de apps de fontes desconhecidas via [[m1054-software-configuration|M1054 - Software Configuration]] - **Inspeção TLS** - Configurar proxy corporativo com inspeção TLS para dispositivos gerenciados (com consentimento do usuário) - **Segmentação de rede** - Isolar dispositivos mobile em segmento dedicado via [[m1030-network-segmentation|M1030]] para limitar impacto de comprometimento - **App vetting** - Analisar apps corporativos em sandbox antes de distribuição ## Relevância LATAM/Brasil - **Banking trojans mobile** - O Brasil é líder global em banking trojans para Android (BrasDex, PixStealer, GoatRAT), que utilizam XOR e AES para comunicação C2 com servidores em provedores brasileiros - **PIX como alvo** - Malware mobile brasileiro focado no sistema PIX usa criptografia para ocultar transferências fraudulentas em tempo real, afetando o setor [[financial|financeiro]] massivamente - **WhatsApp como vetor** - Com mais de 120 milhões de usuários no Brasil, links maliciosos via WhatsApp são o principal vetor de distribuição de malware mobile na região - **Android dominante** - Com ~85% de market share no Brasil, Android é a plataforma prioritária para malware mobile, com sideloading ainda comum - **Baixa adoção de MTD** - Poucas organizações brasileiras implementam Mobile Threat Defense, criando um ponto cego significativo na postura de segurança ## Referências - [MITRE ATT&CK Mobile - T1573](https://attack.mitre.org/techniques/T1573/) - [Kaspersky - Mobile Threats in LATAM](https://securelist.com/feed/) - [ESET - Banking Trojans in Brazil](https://www.welivesecurity.com/en/feed/) - [Lookout - Mobile Threat Landscape](https://www.lookout.com/threat-intelligence)