# T1582 - SMS Control > [!danger] Impacto Financeiro Direto - Severidade Crítica > Malware móvel controla funcionalidades de SMS para enviar mensagens fraudulentas, interceptar códigos de autenticação e realizar fraudes financeiras em escala. ## Visão Geral A técnica **SMS Control** (T1582) permite que malware em dispositivos móveis assuma controle total das funcionalidades de SMS, incluindo envio, recepção, leitura e exclusão de mensagens. Esta capacidade é classificada como **Impact** no MITRE ATT&CK porque o controle de SMS permite ao atacante causar danos financeiros diretos e comprometer a integridade das comúnicações do dispositivo. O controle de SMS opera em três vetores principais: **interceptação** de mensagens recebidas (captura de tokens OTP e códigos 2FA), **envio** de mensagens fraudulentas a partir do dispositivo da vítima (smishing para contatos, assinatura de serviços premium), e **exclusão** de mensagens para ocultar evidências da atividade maliciosa. No Android, isso é possível quando o malware se registra como aplicativo padrão de SMS ou obtém permissões `SEND_SMS`, `RECEIVE_SMS` e `READ_SMS`. Esta técnica está intimamente relacionada com [[t1636-004-sms-messages|T1636.004 - SMS Messages]] (coleta) e [[t1636-contact-list|T1636 - Contact List]] (coleta de alvos). Enquanto T1636 foca na coleta passiva de dados, T1582 envolve controle ativo e manipulação do subsistema de SMS para causar impacto direto. A criticidade desta técnica aumentou exponencialmente com a adoção de SMS como segundo fator de autenticação em serviços bancários e governamentais. O controle de SMS permite bypass completo de [[m1032-multi-factor-authentication|autenticação multifator baseada em SMS]], um método ainda amplamente utilizado na América Latina. ## Attack Flow ```mermaid graph TB A["📱 Infecção<br/>APK malicioso via<br/>phishing WhatsApp"] --> B["🔑 Permissões SMS<br/>App solicita acesso<br/>a SMS e contatos"] B --> C["📩 Interceptação<br/>Captura tokens OTP<br/>e códigos bancários"] C --> D["💸 Fraude Financeira<br/>Transferências PIX<br/>com códigos roubados"] B --> E["📤 Envio Fraudulento<br/>SMS para contatos<br/>da vítima com links"] E --> F["🔄 Propagação<br/>Novos dispositivos<br/>infectados via smishing"] B --> G["🗑️ Exclusão<br/>Remove evidências<br/>de SMS enviados/recebidos"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef evasion fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef default fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A default class B attack class C attack class D impact class E attack class F impact class G evasion ``` **Legenda:** [[t1566-phishing|T1566]] (infecção) - [[t1582-sms-control|T1582]] (controle SMS, destacado) - [[t1636-004-sms-messages|T1636.004]] (coleta SMS) - [[t1636-contact-list|T1636]] (contatos) ## Detecção | Método | Fonte de Dados | Descrição | |--------|---------------|-----------| | Permission Monitoring | Android PackageManager | Apps com `SEND_SMS` + `RECEIVE_SMS` + `READ_SMS` combinados | | Default SMS App | System Settings | Alteração do app padrão de SMS para aplicativo desconhecido | | SMS Volume Analysis | Telephony Logs | Picos anômalos de SMS enviados (indicador de smishing massivo) | | Content Provider Monitor | SmsProvider | Deleção em massa de mensagens SMS | | Network Analysis | Traffic Inspector | SMS enviados para números premium ou internacionais | ### Regra Sigma (Android Logs) ```yaml title: Detecção de Controle de SMS Malicioso Android id: c9f5a3b4-0d6e-4f7a-b182-3d4e5f6a7b82 status: experimental description: Detecta comportamentos de controle malicioso de SMS em dispositivos Android references: - https://attack.mitre.org/techniques/T1582/ logsource: product: android service: telephony detection: selection_mass_send: event_type: "sms_sent" count|gte: 10 timeframe: "5m" selection_default_app_change: event_type: "default_sms_app_changed" new_app|ne: - "com.google.android.apps.messaging" - "com.samsung.android.messaging" - "com.android.mms" selection_mass_delete: event_type: "sms_deleted" count|gte: 5 timeframe: "1m" selection_premium_sms: event_type: "sms_sent" destination|re: "^(900|0900|\\+55900)" condition: selection_mass_send or selection_default_app_change or selection_mass_delete or selection_premium_sms falsepositives: - Aplicativos de marketing SMS legítimos - Limpeza manual de mensagens pelo usuário level: critical tags: - attack.impact - attack.t1582 ``` ## Mitigação - **[[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]]** - Migrar de SMS-OTP para autenticação baseada em app (TOTP) ou FIDO2/passkeys - **[[m1011-user-guidance|M1011 - User Guidance]]** - Alertar usuários sobre apps que solicitam permissão de SMS sem necessidade óbvia - **[[m1006-use-recent-os-version|M1006 - Use Recent OS Version]]** - Android 11+ restringe significativamente o acesso a SMS por apps em background - **Política de permissões** - MDM deve bloquear concessão de permissão `SEND_SMS` a apps não autorizados - **Monitoramento de custos** - Alertas automáticos para envio de SMS para números premium ou volume anômalo - **App vetting corporativo** - Análise estática e dinâmica de APKs antes de permitir instalação em dispositivos corporativos ## Relevância LATAM/Brasil O controle de SMS é uma das técnicas mais impactantes no cenário de ameaças móveis brasileiro. O Brasil é o **maior mercado de mobile banking da América Latina**, com mais de 150 milhões de usuários ativos, e grande parte dos bancos brasileiros ainda utiliza SMS como segundo fator de autenticação. **Fraude PIX via SMS** é o cenário de ataque mais prevalente: o malware intercepta o código OTP enviado por SMS pelo banco, enquanto simultaneamente executa uma transferência PIX fraudulenta na sessão bancária comprometida. Transferências PIX são processadas em menos de 10 segundos e são práticamente irreversíveis, criando uma janela de oportunidade extremamente favorável ao atacante. Banking trojans como [[s0531-grandoreiro]], [[brata]] e [[ghimob]] implementam controle de SMS como capacidade core. O [[s0666-flubot]], embora originário da Europa, causou impacto significativo na região ao utilizar SMS da própria vítima para propagação via smishing - enviando links maliciosos para toda a lista de [[t1636-contact-list|contatos]] do dispositivo comprometido. A distribuição predominante via **WhatsApp** amplifica o problema: mensagens com links para APKs maliciosos circulam em grupos de família e trabalho, explorando a confiança interpessoal. O alto market share Android (~85%) e a prevalência de dispositivos com versões desatualizadas completam o cenário de risco elevado. O CERT.br e a FEBRABAN têm públicado alertas recorrentes sobre fraudes baseadas em controle de SMS, recomendando a migração para autenticação via app como medida prioritária. ## Referências - [MITRE ATT&CK - T1582](https://attack.mitre.org/techniques/T1582/) - [Kaspersky - GhiMob Banking Trojan](https://securelist.com/ghimob-tetrade-threat-mobile/99228/) - [ESET - FluBot Analysis](https://www.welivesecurity.com/la-es/) - [CERT.br - Alertas de Fraude Bancária](https://www.cert.br/) - [FEBRABAN - Segurança Digital](https://portal.febraban.org.br)