Pontos de vista

Como os smartphones se tornaram uma das maiores superfícies de ataque

Kevin Townsend, 6 Janeiro 2021

Nosso smartphone se tornou uma extensão de nós, tornando-o um vetor de ataque claro para golpistas e cibercriminosos.

Os celulares são extensões lógicas das pessoas: todos nós temos um. Eles são usados para organizar nossas vidas, desde os exercícios até as finanças. Eles são inestimáveis. Mas, junto com os benefícios vêm ameaças cada vez maiores.

O panorama dos dispositivos móveis

Desde a invenção do smartphone, nosso celular se tornou parte da vida cotidiana. Com ele, temos acesso a amigos e colegas, controlamos os dispositivos inteligentes da nossa casa e podemos fazer compras e usar serviços bancários online: onde e quando quisermos. Em 2019, quase 75% das pessoas no Reino Unido usavam dispositivos móveis para online banking. Em março de 2020, a Juniper Research previu que os serviços bancários digitais nos EUA aumentariam em 54% até 2024, pois millenials e outros consumidores jovens abandonariam os bancos tradicionais por um sistema bancário digital e online.

Com tantas atividades e todas as nossas credenciais digitais armazenadas nesses dispositivos, não é nenhuma surpresa que os celulares são cada vez mais usados e visados pelo crime virtual. De acordo com dados da Sift, mais de 50% das fraudes online agora envolvem dispositivos Android e iOS.

Ameaças a celulares

O relatório do Mobile Security Index de 2020 da operadora Verizon separa as ameaças móveis em quatro categorias básicas: usuários; apps e software; dispositivo; e redes em que eles se conectam. Vamos seguir essa sequência para explicar algumas das ameaças.

Ameaças ao usuário

Os usuários são o primeiro ponto de segurança de qualquer dispositivo, e a segurança depende do conhecimento, vigilância e tecnologia de proteção de que dispõem. Phishing é a mais antiga, menos técnica e mais persistente ameaça online, e continua a ser o tipo de ataque mais comum. Embora muitos usuários tenham aprendido mais sobre ataques de phishing, graças a recursos como a Academia da Avast, os usuários de mobile estão sendo atacados com mais frequência e maior sofisticação. 

As campanhas de phishing mais tradicionais acontecem por e-mail, com mensagens fraudulentas que fingem ser de organizações legítimas para obter dados sigilosos das vítimas. No entanto, os dispositivos móveis permitem muitos mais vetores. Ataques de e-mail ainda são muito frequentes, mas os usuários também podem receber SMS e ligações telefônicas mal intencionadas e até mesmo publicidade fraudulenta, uma forma de malvertising, em apps e páginas da Web. De acordo com os dados fornecidos pela Lookout, quase metade dos usuários que clicaram em um link de phishing já caíram mais de 6 vezes no mesmo golpe. Apesar da idade da ameaça, o phishing continua a ser eficaz.

Golpes de phishing podem nos afetar mesmo quando não somos vítimas diretas. Uma cidade na Flórida perdeu quase $ 750.000 para uma fraude de phishing quando um golpista se fez passar por um contratado e solicitou ao governo local a atualização de alguns dados de pagamento, o que fez com que o dinheiro da cidade fosse transferido ao golpista. Mais recentemente, o governo de Porto Rico perdeu $ 2,6 milhões depois de cair em um golpe de phishing, que conseguiu roubar dinheiro dos contribuintes. Os celulares são usados frequentemente para iniciar golpes de grande escala, pois o fraudador pode fingir estar em viagem e assim ser difícil um contato para confirmação.

Os ataques de ofuscação de URL geralmente fazem parte de campanhas de phishing e podem ser uma ameaça móvel por si só. Muitas vezes é mais difícil verificar a legitimidade de um link ou uma URL em dispositivos móveis do que em laptops ou computadores. Os apps de navegação de internet para mobile não comunicam informações de segurança de maneira tão clara quanto os navegadores de computador, e os links enviados por SMS podem ser ofuscados facilmente por várias técnicas. A ofuscação de URL pode ser tão simples quanto substituir o domínio geral de um endereço ou trocar caracteres similares (como “O” e “0”, “cl” e “d”, etc.) 

Uma forma mais sofisticada desse ataque é conhecida como ataque homográfico. Isso acontece quando um ou mais caracteres em um nome de domínio são substituídos por caracteres de outros sistemas alfabéticos, por exemplo, o tau grego (τ) em vez do “t” latino. Assim, os criminosos poderiam registrar (para fins ilustrativos) microsofτ.com e desenvolvê-lo como um site maligno. Seria muito fácil para o usuário acreditar que o link é o microsoft.com verdadeiro.

Os usuários de celular aceitam com frequência permissões de apps sem ler com atenção. Isso pode permitir que apps fraudulentos usem a câmera do dispositivo para espionar o usuário ou gravar tudo que é inserido, como dados de login e credenciais bancárias. Isso nem sempre é falha de usuários desatentos. Alguns malwares para mobile conseguem sobrepor prompts de permissões que parecem inofensivas sobre as reais, enganando os usuários para que eles permitam que um app acesse todos os arquivos no dispositivo, ou leia dados sigilosos, pensando que estão aceitando algo inocente.

Ameaças de app

É difícil acompanhar quantos smartphones estão em uso no mundo todo, mas estima-se que em 2018 existiam 2,3 bilhões de smartphones Android. Outras estimativas sugeriam que 100 milhões deles estavam infectados por malware. Há muito menos telefones iOS, mas os dois conjuntos de usuários são atacados persistentemente pelos apps que usam. 

Uma forma comum de ataque é por apps malignos ou equipados com ferramentas hostis. Muitas vezes, eles são introduzidos por sideloading, quando o usuário instala um app de outra fonte que não seja a loja de app oficial. Em muitos casos, a isca é uma versão “craqueada” grátis de um produto comercial ou um app especializado que finge ser um jogo ou fonte de entretenimento adulto (relacionado à pornografia), mas que contém malware.

Um exemplo de sideloading envolveu a entrega de malware, chamado Agent Smith, dentro de apps legítimos, como o WhatsApp, em 2019. Os apps foram baixados da loja de terceiros 9apps.com, que é de propriedade da Alibaba da China. Acredita-se que 25 milhões de telefones Android foram infectados pelo Agent Smith: até 15 milhões na Índia, 300.000 nos EUA e 137.000 no Reino Unido.

No entanto, apps malignos também podem ser encontrados em lojas oficiais. Em março de 2020, pesquisadores de segurança encontraram 56 apps infectados por malware o Google Play Sotre e que haviam sido baixados mais de 1 milhão de vezes. Desses, 24 dos apps eram direcionados a crianças.

A virulência dos apps malignos também está aumentando. Alguns ransomware para mobile, além de bloquear os arquivos armazenados localmente, também bloqueiam o armazenamento em nuvem, como o Google Drive. Doxware, que não só bloqueia dados, como também ameaça publicar arquivos pessoais online, também está aumentando. Uma proporção surpreendentemente alta de pessoas tiram fotos íntimas de si mesmas com os dispositivos móveis para compartilhar com parceiros românticos. Uma pesquisa de 2014 descobriu que 90% das jovens millenials usaram o telefone para tirar fotos íntimas. A publicação delas pode ser muito constrangedora e levar a abuso online. Também pode haver informações de localização armazenadas nos metadados das fotos que podem colocar a segurança pessoal em perigo.

Stalkerware, que geralmente é instalado por um parceiro “confiável” para espionar a localização e amigos de uma pessoa, também está aumentando. Isso mostra não só a diversidade das ameaças aos celulares, como também a variedade de fontes de ameaças.

Ameaças a dispositivos

Troca de SIM é uma ameaça grave que dobra a cada ano, desde 2016. O criminoso entra em contato com o serviço da operadora de telefonia do usuário e convence a transferir o número de telefone da vítima para um cartão SIM diferente (“eu comprei um telefone novo, estes são os dado, por favor, transfira meu número”). Até que isso seja resolvido, o criminoso recebe todas as chamadas e mensagens SMS, incluindo códigos de autenticação 2FA, que seriam destinadas à vítima. Infelizmente, isso é muito fácil de fazer e até o CEO do Twitter, Jack Dorsey, foi vítima do golpe.

Embora a maioria dos ataques não precise de acesso físico direto a um dispositivo, ter esse acesso pode ser uma maneira fácil e eficaz de comprometer um alvo. “Juice jacking” (roubo de energia, em tradução livre) é um método de invasão de dispositivos com um nome bem divertido, em que os cibercriminosos substituem ou modificam tomadas de energia de acesso público. A tomada comprometida pode então ser usada para instalar malware. 

Nenhum desses ataques inovadores será necessário se o invasor conseguir por as mãos em nosso telefone e isso é muito simples quando nós o esquecemos ou perdemos. Em Londres, mais de 25.000 dispositivos móveis foram perdidos no transporte público entre 2017 e 2018, e uma média de 23.000 dispositivo Android são perdidos ou roubados todos os meses. 4% dos usuários do Android perderão seu dispositivo pelo menos uma vez, por isso, os ladrões oportunistas têm oportunidades regulares de adquirir dispositivos e as possíveis informações que eles contêm.

Ameaças de rede

Nossos dispositivos móveis são, por definição, dispositivos IoT, e muito usados como centrais de controle de IoT. Precisamos tratá-los com a mesma consideração que damos aos outros dispositivos IoT, pois perdê-los poderia levar ao abuso de todos os dispositivos inteligentes controlados pelo telefone. 

Ataques Man-in-the-Middle, ou MitM, são executados frequentemente por meio de pontos de Wi-Fi públicos ou abertos, sejam redes legítimas que foram comprometidas ou hotspots fraudulentos configurados especificamente para fins malignos. As estatísticas sugerem que 7% dos dispositivos móveis podem sofrer um ataque MitM a cada ano. Precisamos tratar toda conexão Wi-Fi externa (cafés, hotéis, aeroporto e etc.) com cuidado.

Para nossa proteção

A maioria das ameaças para mobile (mas não todas) se origina em engenharia social, quando o criminoso convence o usuário a fazer o que o criminoso quer, em vez do que o usuário deveria fazer. A tecnologia não pode impedir que você escolha o que fazer no seu telefone. Para se proteger, a principal defesa é conhecer a ameaça. Discutimos algumas delas, mas certamente não todas. Esteja sempre consciente delas por meio da vigilância e do aprendizado.

Nem todas as ameaças vêm da engenharia social. Em 2019, um bug permitiu que os usuários do WhatsApp fossem infectados por uma simples chamada telefônica, que nem precisava ser respondida. Se o conhecimento não pode impedir a infecção, a tecnologia pode ajudar. Cada usuário de celular deve ter um produto antimalware robusto instalado no telefone.

Por fim, não se esqueça de criptografar os dados sempre que possível.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.