# T1508 - Suppress Application Icon > [!warning] Evasão Móvel - Severidade Alta > Malware Android remove seu próprio ícone do launcher após instalação, tornando-se invisível para o usuário e dificultando a desinstalação manual. ## Visão Geral A técnica **Suppress Application Icon** (T1508) consiste na remoção programática do ícone de um aplicativo malicioso do launcher Android após sua instalação. Isso impede que o usuário localize e desinstale o malware através da interface padrão do dispositivo, garantindo persistência silenciosa. No Android, aplicativos podem invocar `PackageManager.setComponentEnabledSetting()` para desabilitar sua atividade principal no launcher, fazendo com que o ícone desapareça completamente. A partir do Android 10 (API 29), o Google impôs restrições mais rígidas, mas versões anteriores - ainda amplamente utilizadas na América Latina - permanecem vulneráveis. Esta técnica é frequentemente combinada com [[t1655-hide-artifacts-android|T1655 - Hide Artifacts]] e [[t1406-obfuscated-files-or-information|T1406 - Obfuscated Files or Information]] para criar camadas múltiplas de evasão. O malware tipicamente exibe uma tela falsa de "instalação falhada" ou "aplicativo incompatível" antes de ocultar seu ícone, induzindo o usuário a acreditar que o aplicativo foi removido. Para equipes de defesa, a detecção requer monitoramento ativo de chamadas à API `setComponentEnabledSetting` e auditorias periódicas de aplicativos instalados sem ícone visível no launcher, uma abordagem que soluções de MDM e [[m1011-user-guidance|M1011 - User Guidance]] podem complementar. ## Attack Flow ```mermaid graph TB A["📱 Instalação<br/>Usuário instala APK<br/>via phishing/loja falsa"] --> B["🎭 Engenharia Social<br/>Tela falsa de erro<br/>ou desinstalação"] B --> C["🔒 Suppress Icon<br/>Remove ícone do launcher<br/>via PackageManager API"] C --> D["👻 Persistência<br/>App invisível<br/>executa em background"] D --> E["📡 C2 Callback<br/>Comúnicação com<br/>servidor de comando"] E --> F["💰 Impacto<br/>Roubo de credenciais<br/>bancárias e dados"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef evasion fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef default fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A default class B default class C evasion class D attack class E attack class F impact ``` **Legenda:** [[t1566-phishing|T1566 - Phishing]] (instalação) - [[t1508-suppress-application-icon|T1508]] (evasão, destacado) - [[t1571-encrypted-channel|T1571]] (C2) - [[t1513-screen-capture|T1513]] (impacto) ## Detecção | Método | Fonte de Dados | Descrição | |--------|---------------|-----------| | API Monitoring | Logs de PackageManager | Monitorar chamadas a `setComponentEnabledSetting` com `COMPONENT_ENABLED_STATE_DISABLED` | | App Audit | MDM/EMM | Listar apps instalados vs. apps visíveis no launcher - diferenças indicam ocultação | | Permission Analysis | Manifest Scanner | Apps solicitando permissões sensíveis sem ícone visível | | Behavioral Analysis | EDR Mobile | Processos em background sem atividade de launcher correspondente | ### Regra Sigma (Android Logs) ```yaml title: Detecção de Supressão de Ícone Android id: a7d3e1f2-8b4c-4d5e-9f6a-1b2c3d4e5f60 status: experimental description: Detecta tentativa de ocultar ícone de aplicativo Android via PackageManager API references: - https://attack.mitre.org/techniques/T1508/ logsource: product: android service: packagemanager detection: selection: api_call: "setComponentEnabledSetting" new_state: "COMPONENT_ENABLED_STATE_DISABLED" component_type: "LAUNCHER_ACTIVITY" filter_legitimate: package_name: - "com.google.*" - "com.android.*" - "com.samsung.*" condition: selection and not filter_legitimate falsepositives: - Aplicativos legítimos que ocultam ícone temporariamente (raro) - Ferramentas de administração corporativa level: high tags: - attack.defense_evasion - attack.t1508 ``` ## Mitigação - **[[m1011-user-guidance|M1011 - User Guidance]]** - Orientar usuários a verificar lista completa de apps em Configurações > Aplicativos, não apenas no launcher - **[[m1006-use-recent-os-version|M1006 - Use Recent OS Version]]** - Android 10+ restringe ocultação de ícones para apps sem atividade de launcher - **MDM/EMM** - Implementar políticas que bloqueiem instalação de APKs fora da Google Play Store - **App Vetting** - Utilizar soluções de análise de aplicativos que detectem chamadas à API de supressão de ícone - **Auditoria periódica** - Comparar lista de apps instalados com ícones visíveis regularmente ## Relevância LATAM/Brasil O Brasil é o mercado Android mais relevante da América Latina, com aproximadamente **85% de market share**. Esta penetração massiva, combinada com o uso extensivo de banking apps, torna a técnica T1508 particularmente perigosa na região. **Banking trojans brasileiros** como [[s0531-grandoreiro]], [[ghimob]] e [[brata]] utilizam extensivamente esta técnica. O fluxo típico envolve distribuição via mensagens de [[t1566-phishing|phishing]] no WhatsApp simulando notificações de bancos ou do governo (Receita Federal, Detran), instalação de APK malicioso que imediatamente oculta seu ícone, e início de overlay attacks para captura de credenciais bancárias e códigos [[t1636-004-sms-messages|SMS de autenticação]]. O impacto financeiro é amplificado pelo sistema **PIX**, que permite transferências instantâneas e irreversíveis. Uma vez que o malware oculta seu ícone e captura credenciais, transferências fraudulentas via PIX são executadas em segundos, sem possibilidade de estorno imediato. Dispositivos Android com versões desatualizadas (abaixo do Android 10) são especialmente prevalentes em classes econômicas C e D no Brasil, ampliando a superfície de ataque para esta técnica. ## Referências - [MITRE ATT&CK - T1508](https://attack.mitre.org/techniques/T1508/) - [Android Developer - PackageManager](https://developer.android.com/reference/android/content/pm/PackageManager) - [Kaspersky - GhiMob Banking Trojan](https://securelist.com/ghimob-tetrade-threat-mobile/99228/) - [ESET - LATAM Banking Trojans](https://www.welivesecurity.com/la-es/)