t1422-system-network-configuration-discovery

# T1422 - System Network Configuration Discovery > [!warning] Reconhecimento de Rede em Dispositivos Móveis > Malware móvel utiliza APIs nativas do Android e iOS para enumerar configurações de rede - endereços IP, Wi-Fi, DNS e APN - construindo um perfil detalhado do ambiente de conectividade da vítima antes de executar ações ofensivas. ## Visão Geral A técnica T1422 descreve como adversários em plataformas móveis coletam informações sobre a configuração de rede do dispositivo comprometido. Diferentemente de ambientes desktop, dispositivos móveis expõem uma superfície de reconhecimento rica: redes Wi-Fi salvas, ponto de acesso atual, configurações de APN (Access Point Name), endereços IP atribuídos, servidores DNS e estado de conectividade celular versus Wi-Fi são todos acessíveis via APIs de sistema sem permissões elevadas na maioria dos casos. Para atores de ameaça, essas informações têm valor operacional imediato. O SSID e BSSID da rede Wi-Fi conectada podem revelar se o alvo está em ambiente corporativo, residencial ou em rede pública - influenciando a decisão de exfiltrar dados imediatamente ou aguardar uma janela mais segura. A geolocalização via triangulação Wi-Fi, sem usar o GPS (que exige permissão explícita), é outro vetor de uso. Grupos como o [[g0032-lazarus-group]] incorporam verificações de ambiente de rede em seus implantes móveis para evitar execução em ambientes de análise (sandboxes geralmente têm configurações de rede artificiais). No contexto LATAM, essa técnica é especialmente relevante para [[brata]] e [[ghimob]], famílias de malware bancário brasileiro que perfilam a conectividade da vítima para sincronizar ataques de overlay com janelas de baixa latência de rede, maximizando a eficácia das operações de credential harvesting em aplicativos financeiros como Banco do Brasil, Itaú e Nubank. ## Attack Flow ```mermaid graph TB A["📱 Dispositivo Comprometido App malicioso instalado"] --> B["🔍 Reconhecimento de Rede T1422 - Discovery"] B --> C["📶 Wi-Fi Enumeration WifiManager API"] B --> D["🌐 IP / DNS Query NetworkInterface API"] B --> E["📡 APN / Celular TelephonyManager API"] C --> F["🗺️ Perfil de Ambiente Corporativo vs Residencial"] D --> F E --> F F --> G["💾 Exfiltração Contextual Dados enviados ao C2"] classDef discovery fill:#3498db,color:#ecf0f1,stroke:#2980b9 classDef action fill:#2c3e50,color:#ecf0f1,stroke:#34495e classDef exfil fill:#e74c3c,color:#ecf0f1,stroke:#c0392b class B,C,D,E discovery class A,F action class G exfil ``` *Legenda: Nós azuis = Discovery (T1422). Vermelho = Exfiltração. Cinza = Contexto.* ## Como Funciona ### Android - APIs Utilizadas No Android, um aplicativo malicioso com permissões comuns (`ACCESS_NETWORK_STATE`, `ACCESS_WIFI_STATE`) pode invocar: **ConnectivityManager** - obtém o tipo de rede ativa (Wi-Fi, celular, Ethernet) e estado de conectividade: ```java ConnectivityManager cm = (ConnectivityManager) getSystemService(CONNECTIVITY_SERVICE); NetworkInfo networkInfo = cm.getActiveNetworkInfo(); // Retorna: TYPE_WIFI, TYPE_MOBILE, isConnected(), etc. ``` **WifiManager** - enumera SSID, BSSID, endereço IP, frequência e força de sinal da rede atual, além de redes Wi-Fi salvas no dispositivo: ```java WifiManager wm = (WifiManager) getApplicationContext().getSystemService(WIFI_SERVICE); WifiInfo wifiInfo = wm.getConnectionInfo(); // Retorna: SSID, BSSID, IP address, link speed, RSSI ``` **NetworkInterface** (java.net) - lista todas as interfaces de rede e endereços IP associados, incluindo IPv4 e IPv6: ```java Enumeration<NetworkInterface> interfaces = NetworkInterface.getNetworkInterfaces(); // Itera sobre eth0, wlan0, rmnet0, etc. ``` **TelephonyManager** - coleta informações de operadora, MCC/MNC, tipo de rede celular (4G/5G) e configurações de APN, útil para identificar operadoras brasileiras (Vivo, Claro, TIM, Oi). ### iOS - APIs Utilizadas No iOS, as restrições de sandboxing são mais rígidas, mas ainda é possível obter informações substanciais: - **SystemConfiguration framework** (`SCNetworkReachability`) - determina o tipo de conectividade e estado de rede - **CFNetwork** - acessa configurações de proxy e DNS do sistema - **Network framework** (`NWPathMonitor`) - monitora mudanças de conectividade em tempo real - **CoreTelephony** (`CTTelephonyNetworkInfo`) - obtém operadora e tipo de rede celular A partir do iOS 14, o acesso ao SSID da rede Wi-Fi requer permissão de localização explícita, reduzindo parcialmente a superfície de ataque. No entanto, aplicativos com justificativa legítima (VPNs, apps corporativos) frequentemente possuem essa permissão. ### Evasão de Sandbox Um uso crítico dessa técnica é a detecção de ambientes de análise. Sandboxes de malware móvel frequentemente apresentam: - Endereços IP de prefixos conhecidos de provedores cloud (AWS, Google Cloud) - SSIDs genéricos ou ausentes - Sem histórico de redes salvas - Interfaces de rede com configurações atípicas Malware como [[brata]] verifica essas condições antes de ativar payload principal, abortando execução se detectar ambiente artificial. ## Detecção ### Mobile Device Management (MDM) Soluções MDM como Microsoft Intune, Jamf e VMware Workspace ONE podem: - Auditar permissões `ACCESS_WIFI_STATE` e `ACCESS_NETWORK_STATE` em apps corporativos - Alertar sobre apps de fontes desconhecidas com perfil de permissões suspeito - Monitorar uso anômalo de APIs de rede via Mobile Threat Defense (MTD) ### Mobile Threat Defense (MTD) Plataformas MTD (Lookout, Zimperium, Pradeo) detectam T1422 monitorando: - Frequência incomum de chamadas a APIs de rede por apps não privilegiados - Apps que coletam informações de rede sem exibir funcionalidade correspondente ao usuário - Correlação entre coleta de dados de rede e comunicação com infraestrutura C2 desconhecida ### Análise Comportamental Em análise dinâmica (sandbox), indicadores incluem: - Chamadas a `WifiManager.getConnectionInfo()` seguidas de comunicação de rede - Uso de `NetworkInterface.getNetworkInterfaces()` em apps que não declaram funcionalidade de VPN - Enumeração completa de interfaces de rede (comportamento típico de reconhecimento, não de app legítimo) ## Mitigação As mitigações primárias para T1422 envolvem controle de permissões e revisão de apps: - **[[m1006-use-recent-os-version]]** - Versões recentes do Android (12+) e iOS (14+) restringem acesso a SSID e informações de rede sensíveis sem permissão explícita de localização - **[[m1011-user-guidance]]** - Treinar usuários para revisar permissões de apps antes da instalação, com atenção especial a `ACCESS_WIFI_STATE` em apps sem funcionalidade de rede aparente - **[[m1005-exploit-protection]]** - Habilitar Google Play Protect e manter análise de apps ativada - Implementar solução de **Mobile Threat Defense (MTD)** em dispositivos corporativos para detecção comportamental em tempo real ## Contexto LATAM > [!latam] Relevância para Brasil e LATAM > T1422 é componente-chave do arsenal de malware bancário brasileiro. **BRata** e **Ghimob** utilizam essa técnica para perfilar a conectividade da vítima antes de acionar ataques de overlay em aplicativos de grandes bancos brasileiros (Banco do Brasil, Itaú, Bradesco, Nubank, Inter). A verificação de rede serve a dois propósitos: (1) confirmar que o dispositivo está em rede de baixa latência para sincronizar a sobreposição de tela com a abertura do app bancário; (2) identificar se o usuário está em rede corporativa - nesse caso, o ataque pode ser postergado para evitar detecção por soluções de segurança empresariais. Empresas no setor financeiro brasileiro devem priorizar MDM com MTD integrado para todos os dispositivos que acessam sistemas corporativos. ## Referências - [MITRE ATT&CK - T1422](https://attack.mitre.org/techniques/T1422/) - Definição oficial e procedimentos - [ESET - BRata Analysis](https://www.welivesecurity.com/en/eset-research/brata-android-remote-access-tool/) - Análise técnica do BRata com detalhes de reconhecimento de rede - [Kaspersky - Ghimob Banking Trojan](https://securelist.com/ghimob-a-tet-with-global-reach/99228/) - Relatório técnico do Ghimob (Kaspersky, 2020) - [Google - WifiManager Documentation](https://developer.android.com/reference/android/net/wifi/WifiManager) - Referência oficial da API - [NIST SP 800-124](https://csrc.nist.gov/publications/detail/sp/800-124/rev-2/final) - Guidelines for Managing Enterprise Mobility