Imagina estar a navegar num site de notícias legítimo ou a usar uma aplicação popular e, sem tocares em nada, o teu telemóvel ser infetado por um spyware de nível militar. Este cenário, digno de um filme de espionagem, é a realidade exposta numa nova investigação sobre o software Predator, da empresa Intellexa. O novo método de infeção, batizado de "Aladdin", utiliza o vasto ecossistema de publicidade online para atingir alvos específicos de forma totalmente silenciosa.
Esta revelação surge de um esforço conjunto entre o Inside Story, o Haaretz e o WAV Research Collective, com a colaboração técnica de especialistas da Amnistia Internacional, da Google e da Recorded Future.
O perigo invisível nos anúncios online
O mecanismo "Aladdin" destaca-se pela sua capacidade de operar como um ataque "zero-click". Isto significa que a vítima não precisa de clicar no anúncio malicioso para que o dispositivo seja comprometido; basta que o anúncio seja carregado no ecrã. O sistema aproveita-se das redes de publicidade móvel comercial para introduzir o malware.
O processo é cirúrgico: os atacantes identificam os alvos através do endereço IP público e outros identificadores técnicos. De seguida, instruem as plataformas de gestão de publicidade (DSPs) para servirem o anúncio armadilhado especificamente a esses dispositivos. Este anúncio pode surgir em qualquer site ou aplicação que faça parte da rede de publicidade, desde um portal de notícias respeitável a um jogo casual.
Documentos internos da Intellexa, conhecidos como "Intellexa Leaks", confirmam que a simples visualização é suficiente para desencadear a infeção, redirecionando o dispositivo para os servidores de exploração da empresa. Para ocultar o rasto, estas operações são canalizadas através de uma rede complexa de empresas de fachada espalhadas por países como a Irlanda, Alemanha, Suíça e Grécia.
Vulnerabilidades Samsung e ataques à rede
Para além do método baseado em publicidade, a fuga de informação confirmou a existência de outro vetor de ataque denominado "Triton". Este método visa especificamente dispositivos equipados com processadores Exynos da Samsung, explorando vulnerabilidades na banda base (baseband) do equipamento. O ataque força o telemóvel a descer para a rede 2G, um protocolo de comunicação mais antigo e menos seguro, facilitando a injeção do spyware.
A Google, que participou na análise forense, classifica a Intellexa como um dos vendedores de spyware mais prolíficos da atualidade. Segundo os dados da gigante tecnológica, a empresa foi responsável por 15 dos 70 casos de exploração de vulnerabilidades zero-day (falhas de segurança desconhecidas pelos fabricantes) descobertos desde 2021.
Apesar das sanções e investigações em curso, a Intellexa continua ativa e a desenvolver novas ferramentas, comprando também cadeias de exploração a entidades externas para garantir que consegue atingir o maior número possível de alvos.
Como os utilizadores se podem proteger
Defender-se contra ataques que utilizam a infraestrutura de publicidade legítima é complexo. No entanto, o bloqueio de anúncios ao nível do navegador é apontado como uma primeira linha de defesa eficaz. Outra medida passa por ocultar o endereço IP dos rastreadores online, embora os documentos indiquem que a Intellexa consegue, em certos casos, obter essa informação diretamente através dos operadores móveis locais.
Para quem procura uma camada extra de segurança, especialmente em dispositivos Android e iOS, recomenda-se a ativação de modos de proteção reforçada, como o "Modo de Bloqueio" (Lockdown Mode) da Apple ou a "Proteção Avançada" da Google, que limitam severamente as funcionalidades do sistema para reduzir a superfície de ataque.
Nenhum comentário
Seja o primeiro!