# T1655 - Hide Artifacts (Android) > [!warning] Evasão Móvel - Severidade Alta > Malware Android oculta artefatos como ícones, arquivos, notificações e processos para evitar detecção pelo usuário e por ferramentas de segurança. ## Visão Geral A técnica **Hide Artifacts** (T1655) no contexto Android abrange um conjunto de métodos que malware utiliza para esconder evidências de sua presença no dispositivo. Diferente da [[t1508-suppress-application-icon|T1508 - Suppress Application Icon]], que foca específicamente na remoção do ícone do launcher, a T1655 é mais ampla e inclui ocultação de arquivos, notificações, processos e outros indicadores visíveis. Malware Android implementa ocultação de artefatos através de múltiplos vetores: prefixar arquivos com ponto (`.`) para torná-los ocultos no sistema de arquivos, armazenar dados maliciosos em diretórios de cache do sistema, suprimir notificações de serviços em foreground, e utilizar nomes de pacote que imitam aplicativos legítimos do sistema. Técnicas mais avançadas incluem o uso de `JobScheduler` em vez de serviços persistentes para reduzir visibilidade. Esta técnica é frequentemente empregada em conjunto com [[t1406-obfuscated-files-or-information|T1406 - Obfuscated Files or Information]] e [[t1508-suppress-application-icon|T1508 - Suppress Application Icon]] para criar uma cadeia completa de evasão. O objetivo é maximizar o tempo de permanência no dispositivo ([[t1398-boot-or-logon-initialization-scripts|persistência]]) antes que o usuário ou uma solução de segurança detecte a infecção. Para defensores, a detecção exige análise comportamental profunda do dispositivo, monitoramento de permissões sensíveis e auditorias regulares do sistema de arquivos e lista de processos, tarefas que [[m1006-use-recent-os-version|soluções de MDM modernas]] podem automatizar. ## Attack Flow ```mermaid graph TB A["📱 Infecção Inicial<br/>APK malicioso instalado<br/>via phishing ou loja falsa"] --> B["🎭 Mascaramento<br/>Nome de pacote imita<br/>app do sistema"] B --> C["👻 Ocultar Artefatos<br/>Arquivos com prefixo .<br/>Notificações suprimidas"] C --> D["🔒 Suprimir Ícone<br/>Remove ícone do launcher<br/>via T1508"] D --> E["⚙️ Persistência<br/>JobScheduler e<br/>BroadcastReceiver"] E --> F["📡 Exfiltração<br/>Dados coletados enviados<br/>ao servidor C2"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef evasion fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef default fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A default class B evasion class C evasion class D evasion class E attack class F impact ``` **Legenda:** [[t1566-phishing|T1566]] (infecção) - [[t1655-hide-artifacts-android|T1655]] + [[t1508-suppress-application-icon|T1508]] (evasão, destacados) - [[t1571-encrypted-channel|T1571]] (exfiltração) ## Detecção | Método | Fonte de Dados | Descrição | |--------|---------------|-----------| | File System Audit | Storage Scanner | Identificar arquivos ocultos (prefixo `.`) em diretórios de apps de terceiros | | Process Monitoring | Android Debug Bridge | Listar processos sem atividade de UI correspondente | | Permission Analysis | Manifest Scanner | Detectar apps com `FOREGROUND_SERVICE` que suprimem notificações | | Package Analysis | PackageManager API | Identificar nomes de pacote imitando apps do sistema (ex: `com.android.systemservice`) | | Storage Analysis | Content Provider Monitor | Monitorar gravações em diretórios atípicos (cache, temp) | ### Regra Sigma (Android Logs) ```yaml title: Detecção de Ocultação de Artefatos Android id: b8e4f2a3-9c5d-4e6f-a071-2c3d4e5f6a71 status: experimental description: Detecta comportamentos de ocultação de artefatos em dispositivos Android references: - https://attack.mitre.org/techniques/T1655/ logsource: product: android service: system detection: selection_hidden_files: file_operation: "create" file_path|startswith: "/data/data/" file_name|startswith: "." selection_fake_system_package: event_type: "package_installed" package_name|startswith: - "com.android.system" - "com.google.android.system" - "com.android.provider" installer_package|ne: "com.android.vending" selection_notification_suppressed: service_type: "foreground" notification_visible: false condition: selection_hidden_files or selection_fake_system_package or selection_notification_suppressed falsepositives: - Aplicativos legítimos que criam arquivos de cache ocultos - Apps de sistema atualizados fora da Play Store (OEM) level: high tags: - attack.defense_evasion - attack.t1655 ``` ## Mitigação - **[[m1011-user-guidance|M1011 - User Guidance]]** - Treinar usuários para verificar lista completa de apps em Configurações, incluindo apps de sistema - **[[m1006-use-recent-os-version|M1006 - Use Recent OS Version]]** - Versões recentes do Android implementam controles mais rígidos sobre ocultação de processos e notificações - **MDM com File Integrity Monitoring** - Monitorar criação de arquivos ocultos em diretórios de dados de aplicativos - **Google Play Protect** - Manter habilitado para detecção de apps com comportamento de ocultação - **Análise comportamental** - Implementar soluções de segurança mobile que detectem discrepâncias entre apps instalados e atividades visíveis - **Restrição de sideloading** - Bloquear instalação de APKs fora de lojas oficiais via políticas de MDM ## Relevância LATAM/Brasil A ocultação de artefatos é uma técnica fundamental no ecossistema de **banking trojans brasileiros**. Com cerca de **85% do mercado móvel** sendo Android, e uma cultura de distribuição de APKs via WhatsApp e redes sociais, o Brasil é um dos mercados mais afetados globalmente por malware mobile que utiliza T1655. Famílias de malware como [[s0531-grandoreiro]], [[brata]] e [[ghimob]] combinam ocultação de artefatos com nomes de pacote que imitam apps populares brasileiros - simulando apps de bancos (Itaú, Bradesco, Nubank), serviços governamentais (gov.br, Receita Federal) ou apps de entrega (iFood, Rappi). Esta engenharia social combinada com evasão técnica dificulta enormemente a detecção pelo usuário médio. Um agravante específico da região é a prevalência de dispositivos com versões desatualizadas do Android (8.x e 9.x), especialmente em dispositivos de entrada vendidos no mercado brasileiro. Estas versões oferecem menos proteções nativas contra ocultação de artefatos, ampliando o tempo de permanência do malware. O impacto financeiro é direto: malware oculto coleta credenciais bancárias e intercepta [[t1636-004-sms-messages|tokens SMS]] de autenticação, permitindo transferências fraudulentas via **PIX** que são processadas em segundos. ## Referências - [MITRE ATT&CK - T1655](https://attack.mitre.org/techniques/T1655/) - [Kaspersky - BRATA Android Trojan](https://securelist.com/brata-evolved-into-an-advanced-persistent-threat/105937/) - [Checkpoint - Mobile Malware Landscape](https://research.checkpoint.com/) - [Google - Android Security Bulletin](https://source.android.com/docs/security/bulletin)