Campanha ativa desde 2016 distribuiu aplicativos-isca com spyware para coletar contatos, SMS, chamadas, localização, fotos, histórico de navegação e áudio ambiente de vítimas ligadas a grupos políticos e étnicos.
| Componente | Aplicativos Android falsos associados à operação Domestic Kitten, incluindo iscas relacionadas a wallpaper do ISIS, notícias da ANF e uma versão falsa do mensageiro Vidogram. |
| Vetor | Engenharia social por conteúdo-isca de interesse político, étnico ou ideológico, levando usuários a instalar aplicativos móveis carregados com spyware. |
| Impacto | Coleta de contatos, registros de chamadas, SMS, histórico e favoritos do navegador, geolocalização, fotos, gravações de áudio ambiente e dados de milhares de contatos indiretos. |
| Prioridade | Identificar dispositivos Android com aplicativos-isca, revisar permissões sensíveis, caçar comunicação HTTP POST para infraestrutura C2 e conter contas e aparelhos de vítimas expostas. |
| Artefatos | Certificado comum emitido em 2016, e-mail telecom2016 at yahoo[.]com, classes sob o pacote grafado incorretamente andriod.browser e logs separados pelo delimitador ~~~. |
| IoCs | Domínio C2 defangado firmwaresystemupdate[.]com; outros destinos foram contatados por IPs codificados com base64 e XOR, associados a domínios recém-registrados com padrão de nome e sobrenome. |
A operação Domestic Kitten descreve uma campanha de vigilância móvel conduzida por meio de aplicativos Android falsos, observada desde 2016 e direcionada principalmente a cidadãos iranianos. A atividade não se apoia em exploração de vulnerabilidade documentada no material analisado, mas em engano aplicado à distribuição de aplicativos que aparentam entregar conteúdo legítimo ou ideologicamente atraente. Entre as iscas analisadas aparecem um aplicativo de wallpapers com tema do ISIS, um aplicativo que simula atualizações da agência curda ANF e uma versão falsa do mensageiro Vidogram. O objetivo técnico desses aplicativos é instalar spyware em dispositivos móveis e transformar permissões concedidas pelo usuário em capacidade persistente de coleta de dados pessoais e operacionais.
A atribuição direta do operador não está confirmada, mas os alvos, o tipo de conteúdo usado nas iscas, a infraestrutura e a concentração de vítimas sustentam avaliação de origem iraniana. A campanha aparece voltada a grupos que podem interessar a programas de vigilância interna, incluindo simpatizantes do ISIS, integrantes ou apoiadores da minoria curda e outros usuários inseridos em disputas políticas regionais. O levantamento técnico identificou cerca de 240 usuários comprometidos, com mais de 97% deles no Irã; também foram observadas vítimas no Afeganistão, Iraque e Grã-Bretanha. O impacto real é maior do que a contagem de aparelhos infectados, porque listas de contatos, SMS e registros de chamadas expõem terceiros que não instalaram os aplicativos maliciosos.
A cadeia começa com a oferta de aplicativos que parecem compatíveis com interesses específicos dos alvos. No caso do aplicativo temático do ISIS, a funcionalidade visível é a troca de papéis de parede, inclusive com um nome em árabe apresentado de forma gramaticalmente incorreta. No caso da ANF, os operadores fabricaram um aplicativo que se passa por canal legítimo de notícias curdas. A versão falsa do Vidogram usa a confiança associada a um aplicativo de mensagens para reduzir a suspeita durante a instalação. Em todos os casos, a utilidade aparente é apenas a camada de disfarce para um componente de coleta executado no dispositivo Android.
As amostras analisadas compartilham um certificado emitido em 2016, ligado ao e-mail telecom2016 at yahoo[.]com. Um traço técnico recorrente é a presença de classes sob o pacote escrito como andriod.browser, erro que funciona como artefato de agrupamento entre amostras. Essas classes são associadas às rotinas responsáveis por capturar informações sensíveis do aparelho e preparar o envio para servidores de comando e controle. A coleta inclui listas de contatos, registros de chamadas telefônicas, mensagens SMS, histórico e favoritos do navegador, geolocalização, fotos e gravações do ambiente ao redor do dispositivo.
O envio de dados ocorre por requisições HTTP POST para infraestrutura C2. Um dos aplicativos contatou o domínio defangado firmwaresystemupdate[.]com, que inicialmente resolveu para um endereço IP iraniano e depois passou a resolver para um endereço russo. Outras amostras contataram IPs diretamente, com os destinos armazenados de forma codificada por base64 e XOR. Esses IPs também estavam associados a domínios recém-registrados que seguiam um padrão de nome e sobrenome, o que sugere organização operacional para separar infraestrutura por aplicativo, vítima ou campanha sem depender apenas de domínios temáticos.
Cada vítima recebe um UUID derivado do android_id do dispositivo. Esse identificador aparece no início dos logs enviados ao operador, com nomes estruturados no formato de UUID, data e hora. Antes dos registros de chamadas, os logs documentam informações básicas do aparelho e usam o delimitador ~~~ para separar campos. Depois da coleta, os dados são compactados e criptografados com AES, usando o UUID do dispositivo como chave. O spyware também recebe comandos estruturados com o mesmo delimitador, incluindo solicitações de arquivo, alteração de servidor e coleta de contatos, o que mostra uma operação comandada remotamente em vez de simples exfiltração estática.
A superfície afetada é composta por dispositivos Android de usuários que instalaram os aplicativos-isca. O risco não depende apenas do nome do aplicativo, porque a campanha usa identidade visual, tema e conteúdo político para atingir comunidades específicas. Usuários ligados a círculos curdos, consumidores de notícias regionais, simpatizantes do ISIS e pessoas interessadas em aplicativos de mensagens aparecem como alvos prováveis conforme os nomes e descrições internas observadas nos logs. Entre os codinomes de aplicação vistos na documentação da campanha estão Daesh4, Military News, Weapon2 e Poetry Kurdish, usados pelos operadores para reconhecer rapidamente qual isca comprometeu cada vítima.
O efeito sobre terceiros é relevante para resposta a incidente. Como a coleta inclui listas completas de contatos, nomes e pelo menos um número de telefone por contato, a campanha alcança pessoas que nunca instalaram o spyware. Registros de chamadas e SMS também ampliam a exposição, porque revelam relações, horários, frequência de comunicação e conteúdo de mensagens. Em um ambiente de vigilância política, esses metadados têm valor operacional mesmo sem exploração adicional do aparelho, pois permitem mapear redes sociais, vínculos comunitários, deslocamentos e padrões de comunicação.
- Dispositivos Android com aplicativos falsos relacionados a wallpapers do ISIS, notícias da
ANFou versão falsa doVidogram. - Usuários iranianos compõem mais de 97% das vítimas identificadas, com registros adicionais no Afeganistão, Iraque e Grã-Bretanha.
- Contatos armazenados nos aparelhos comprometidos também ficam expostos, incluindo pessoas não infectadas.
A caça deve começar por inventário de aplicativos Android e revisão de permissões sensíveis concedidas a apps fora de lojas confiáveis ou com procedência incerta. Em dispositivos de usuários em grupos de risco, nomes e temas ligados a notícias curdas, conteúdo do ISIS, mensagens e atualizações de firmware devem ser avaliados com cuidado quando aparecerem combinados a permissões de SMS, contatos, microfone, câmera, localização, armazenamento e histórico de chamadas. A presença do pacote andriod.browser em amostras, backups, artefatos de MDM ou análise estática é um sinal forte de relação com a campanha.
Na camada de rede, a telemetria deve procurar requisições HTTP POST de aplicativos móveis para destinos incomuns, especialmente quando o corpo da requisição carregar arquivos compactados, logs recorrentes ou tráfego com periodicidade compatível com coleta de dados. O domínio defangado firmwaresystemupdate[.]com deve ser tratado como indicador de interesse histórico, junto com domínios recém-registrados que resolvam para IPs contatados diretamente por aplicativos suspeitos. Como parte da infraestrutura foi codificada nas amostras, a análise de binários deve extrair strings, rotinas de base64, XOR e URLs ou IPs reconstruídos em tempo de execução.
Em endpoint móvel, sinais úteis incluem criação de arquivos de log com nomes iniciados por UUID do dispositivo, campos separados por ~~~, arquivos compactados temporários e chamadas a APIs de SMS, contatos, localização, gravação de áudio e leitura de mídia. Em investigações forenses, a correlação entre horário de criação dos logs, conexões HTTP POST e acesso a dados sensíveis ajuda a distinguir uso legítimo de comportamento de spyware. Para vítimas já identificadas, a análise deve incluir contatos e mensagens expostos, porque a campanha produz impacto indireto sobre redes inteiras de relacionamento.
- Pacote ou namespace
andriod.browserem APKs, amostras móveis ou artefatos de análise estática. - Requisições HTTP POST para C2, incluindo o domínio defangado
firmwaresystemupdate[.]comou IPs reconstruídos por rotinas de base64 e XOR. - Logs nomeados com UUID, data e hora, campos separados por
~~~e arquivos compactados criptografados antes do envio. - Permissões simultâneas para contatos, SMS, chamadas, localização, microfone, câmera e armazenamento em aplicativos de conteúdo político ou mensageria.
A resposta deve priorizar contenção de dispositivos com aplicativos suspeitos, preservando evidências antes da remoção quando houver investigação formal. O aparelho deve ser isolado de redes sensíveis, inventariado e analisado para identificar APKs instalados, permissões concedidas, certificados, nomes de pacotes e conexões recentes. A simples desinstalação reduz a coleta futura, mas não desfaz a exposição já ocorrida; por isso, a resposta precisa considerar contatos, mensagens, fotos, localização e registros de chamadas já enviados ao operador.
Organizações que protegem jornalistas, ativistas, comunidades de risco ou usuários envolvidos em temas políticos regionais devem reforçar controles de MDM, bloqueio de instalação por fontes desconhecidas e revisão periódica de aplicativos com permissões invasivas. Em ambientes Android gerenciados, políticas de allowlist para aplicativos, telemetria de rede móvel e análise de reputação de certificados ajudam a limitar o alcance de campanhas baseadas em engenharia social. Para usuários não gerenciados, a mitigação depende de orientação específica: verificar a procedência de apps, desconfiar de versões paralelas de mensageiros e evitar aplicativos temáticos distribuídos fora de canais confiáveis.
Depois da contenção, a equipe deve redefinir credenciais usadas no aparelho quando houver risco de captura indireta por SMS, navegador ou arquivos locais, revisar autenticação multifator baseada em SMS e alertar contatos potencialmente expostos sem divulgar dados pessoais. A infraestrutura C2 e os artefatos de pacote devem alimentar bloqueios defensivos, mas sem depender apenas de IoCs fixos, porque os operadores já demonstraram uso de múltiplos destinos e codificação de endereços nas amostras. A validação final deve confirmar ausência dos aplicativos-isca, ausência de novas conexões HTTP POST suspeitas e remoção de permissões excessivas em aplicativos remanescentes.
- Isolar e preservar dispositivos suspeitos antes de remover aplicativos, quando houver necessidade de análise forense.
- Bloquear instalação por fontes desconhecidas e aplicar allowlist de aplicativos em dispositivos Android gerenciados.
- Revisar permissões de SMS, contatos, chamadas, localização, microfone, câmera e armazenamento em aplicativos de origem incerta.
- Rotacionar credenciais e revisar MFA quando o aparelho comprometido armazenar sessões, SMS de verificação ou dados sensíveis.
- Monitorar tráfego móvel para HTTP POST anômalo e atualizar bloqueios com indicadores defangados e artefatos de pacote observados.
0 Comentários