Os dispositivos móveis tornaram-se um dos principais alvos dos hackers no primeiro semestre de 2022, com um aumento significativo na atividade de malware móvel. Segundo o mais recente relatório da especialista em cibersegurança, S21sec, a ciberespionagem tornou-se um dos principais alvos dos criminosos.
Uma das principais conclusões do mais recente Threat Landscape Report, relatório bianual desenvolvido pela S21sec, é de que os dispositivos móveis se tornaram um dos principais alvos dos cibercriminosos nos primeiros seis meses do ano, com um aumento significativo na atividade de malware móvel.
De acordo com o Relatório Digital Global Statshot, publicado em abril de 2022, das 7,93 mil milhões de pessoas na Terra, 67% da população mundial utiliza atualmente um dispositivo móvel. Isto significa que mais de 5,32 mil milhões de pessoas em todo o mundo têm um telemóvel, armazenando cada vez mais informação sensível tanto na memória do dispositivo como na cloud: desde fotografias pessoais a dados bancários, palavras-passe e informação da empresa onde trabalham. Desta forma, os cibercriminosos encontraram um novo alvo para os seus ataques, com a capacidade de aceder a conteúdos armazenados em smartphones e comprometer qualquer informação relacionada com o utilizador.
“Como tem sido o caso nos últimos anos, tem havido um aumento na atividade de malware móvel e esse crescimento acentuou-se nos primeiros seis meses de 2022. Os cibercriminosos acrescentaram smartphones e tablets à lista de alvos prioritários, o que levou a um aumento das ciber ameaças que visam especificamente estes dispositivos”, refere Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.
Quatro tipos de ameaças aos smartphones
Segundo o relatório bianual da maior empresa de serviços de cibersegurança da Península Ibérica, existem quatro vias para a distribuição de malware que tem como alvo os dispositivos móveis:
Ataques de smishing
Quando os atacantes substituem a identidade de aplicações, particularmente de entidades bancárias, de lojas ou de empresas transportadoras. Os cibercriminosos enviam mensagens que incluem geralmente uma página fraudulenta pedindo ao utilizador informações pessoais para roubar credenciais ou utilizando um endereço de internet que direciona para uma página onde será descarregado malware.
Utilização de Pop-Ups
Pop-Ups são anúncios em páginas web que incitam os utilizadores a descarregar uma aplicação. Foram observados muitos casos em que os cibercriminosos incitam as suas vítimas a instalar atualizações falsas de software comum.
Mercados não oficiais de aplicações
Este é um dos principais locais onde o malware é distribuído. Os piratas informáticos disponibilizam – fora das lojas oficiais – aplicações que parecem legítimas mas que na realidade são malware ou copiam a aplicação fidedigna, para evitar que o utilizador se aperceba de que é falsa, acrescentando-lhe posteriormente código malicioso.
Aplicações com malware em mercados oficiais como o Google Play ou Apple Store
Embora as grandes lojas de aplicações tenham medidas de segurança internas para evitar que aplicações com código malicioso estejam disponíveis para download, tem havido inúmeros casos em que uma aplicação de aspeto legítimo é na realidade uma app que contém alguma forma de malware.
Ataques de malware móvel mais relevantes
O spyware Pegasus, desenvolvido pela empresa de segurança israelita NSO Group, cujo objetivo é a espionagem, tornou-se muito relevante nos últimos três anos e especialmente neste semestre, devido à sua utilização contra membros do Estado e governos autónomos, bem como jornalistas e pessoas importantes.
Um dos casos mais notórios aconteceu em Espanha, em maio, quando se descobriu que este malware infetou os telemóveis do Primeiro-ministro, Pedro Sánchez, e da Ministra da Defesa, Margarita Robles, entre outras autoridades.
“Este software tira partido de vulnerabilidades do telefone, por exemplo através do envio de um SMS e, mesmo que o utilizador não faça nada, o equipamento é infetado e comprometido através do método “clique zero”. Não deixa rasto visível no telefone e é muito difícil de detetar”, afirma Hugo Nunes. “O mais importante para evitar ter este tipo de spyware instalado é garantir sempre controlo sobre o seu dispositivo móvel, pois pode ser instalado numa questão de segundos. É também muito importante manter todo o software do equipamento atualizado e não clicar em endereços, e-mails ou mensagens que não conhece”, acrescenta.
Para além do Pegasus, outros ataques relevantes incluem Xenomorph e Flubot. O Xenomorph é um trojan bancário Android que foi descoberto pela primeira vez em fevereiro de 2022 e disfarçado como uma aplicação legítima. Tal como com outros trojans bancários móveis Android, quando o utilizador abre a sua aplicação bancária, este malware irá realizar um ataque de overlay, sobrepondo uma página falsa que imita a página de login do banco, com o objetivo de conseguir que as vítimas introduzam as suas palavras-passe e roubem os seus dados e dinheiro.
O Flubot foi descoberto em dezembro de 2020 e tem vindo a espalhar-se rapidamente pelos dispositivos móveis ao longo dos últimos dois anos. É distribuído através de SMS, chamadas perdidas ou alertas que se fazem passar por diferentes entidades com o objetivo de espalhar ligações maliciosas onde o malware é descarregado, por exemplo, como software de localização de encomendas falsas ou outros serviços. Como estas mensagens, chamadas ou alertas vêm de uma fonte conhecida, é mais provável que o destinatário ou a vítima caia na armadilha e infete o seu dispositivo móvel.
De salientar que em maio a estrutura por detrás do Flubot foi desativada pela polícia holandesa e no início de junho a Europol anunciou a remoção completa do malware do Flubot Android. As autoridades europeias descreveram pormenorizadamente como a operação policial internacional terá envolvido onze países com o objetivo de desmantelar o malware.