Image default
Security

Novo malware é utilizado para espionar tráfego de mensagens SMS

Um novo malware apelidado de “Messagetap” foi projetado para monitorar e registrar o tráfego de SMS de determinados números de telefone, números IMSI, ou com base em palavras-chave para outros ataques.

O novo malware foi desenvolvido pelo grupo chinês de hackers APT41 para ser implantado na rede de empresas de telecomunicações. Ele foi descoberto pela empresa de cybersecurity FireEye durante uma investigação em uma empresa de telecomunicações.

O APT41 é um grupo de hackers patrocinado pelo governo chinês, conhecido por conduzir operações com motivação financeira, tem sua atividade conhecida por pelo menos a partir de 2012.

O malware Messagetap foi encontrado em um cluster de servidores Linux utilizados como servidor de SMSC (Short Message Service Center). Em telecomunicações, os SMSCs operam para armazenar, encaminhar, converter e fornecer o conhecido serviço de SMS. Sabe aquelas mensagens curtas que recebemos em nossos celulares, seja para alertar sobre algum desastre natural, ou um código como “2º fator de autenticação” que concede acesso a determinado sistema, dentre outras finalidades? Então…

O malware Messagetap

Depois que esse malware é instalado nos SMSCs, ele verifica a existência de dois arquivos denominados keyword_parm.txt e parm.txt.

  • parm.txt – O arquivo contém números IMSI e números de telefone a serem segmentados;
  • keyword_parm.txt – contém a lista de palavras-chave que é lida a partir de uma lista keywordVec.

Os arquivos de configuração fornecem o caminho para o malware, ou seja, o keyword_parm.txt contém palavras-chave de interesse geopolítico e parm.txt contém duas listas phoneMap (números de telefone) e imsiMap (números IMSI).

Malware Messagetap
Diagrama do fluxo do malware Messagetap
Fonte: https://gbhackers.com/messagetap-malware/

O script de instalação do malware tenta ler estes arquivos de configuração a cada 30 segundos. Se eles existirem, então serão carregados na memória e poderão ser excluídos.

“O Messagetap começa a monitorar todas as conexões de rede de e para o servidor. Ele usa a biblioteca libpcap para ouvir todo o tráfego e analisa os protocolos de rede, começando pelas camadas Ethernet e IP. Ele continua analisando as camadas do protocolo, incluindo SCTP, SCCP e TCAP ”, conforme consta no relatório da FireEye.

O malware extrai os seguintes dados da rede:

  • Conteúdo da mensagem SMS;
  • O número IMSI;
  • Os números de telefone de origem e destino.

“O malware pesquisa por palavras-chave no conteúdo da mensagem SMS da lista keywordVec, compara o número IMSI com os números da lista imsiMap e verifica os números de telefone extraídos com os números da lista phoneMap.”

Se a mensagem SMS corresponder ao número de telefone, ao número IMSI ou as palavras-chave, eles serão salvos no arquivo CSV pelo malware.

Além do sequestro de SMS realizado pelo Messagetap, a FireEye também identificou o componente que interage com os bancos de dados que registram detalhes de chamada (CDR) para consultar, salvar e roubar registros durante a mesma invasão.

O grupo de hackers continua a atingir outras organizações, como serviços de viagem e empresas de planos de saúde, além das que atuam com telecomunicações, para roubar informações confidenciais de pessoas específicas.

Recentemente, os pesquisadores descobriram um novo ataque conhecido como Simjacker, que pode ser explorado ao enviar um SMS contendo um tipo específico de malware.

Fonte:

Fonte da imagem utilizada no post:

https://www.forbes.com/sites/zakdoffman/2019/06/25/chinese-government-suspected-of-major-hack-on-10-global-phone-companies-reports/#742bfdec32da

Posts similares

Vem aí o evento ‘White & Black Hackers 4’

O Analista

LG corrige falha grave em aplicativo que permite o roubo de informações

O Analista

Hacking em massa é executado contra usuários do TeamViewer, e não sabemos como

O Analista