Sumário executivo

O Alerta vermelho a campanha de espionagem móvel representa um vetor crítico de ameaça que explora diretamente o aumento do pânico civil em torno do atual conflito cinético Israel-Irã. Os agentes de ameaças estão aproveitando a necessidade desesperada de alertas de foguetes em tempo real, distribuindo uma versão trojanizada do aplicativo oficial do Home Front Command por meio de phishing (smishing) direcionado por SMS. Esse mecanismo de entrega ignora deliberadamente a Google Play Store, o único repositório legítimo do aplicativo “Red Alert” autêntico, que funciona de forma limpa com apenas o acesso básico às notificações. Ao manipular as vítimas para que descarregem esse APK malicioso sob o pretexto de uma atualização urgente em tempo de guerra, os adversários implantaram com sucesso uma interface de alerta totalmente funcional que mascara um mecanismo de vigilância invasivo projetado para atacar uma população hipervigilante.

Sob o exterior de aparência legítima, o malware executa uma infecção sofisticada em vários estágios, utilizando ganchos de proxy dinâmicos para falsificar o certificado de assinatura de 2014 do aplicativo original e evitar as verificações de integridade do sistema Android. A carga útil principal, fortemente ofuscada dentro da classe, pesquisa agressivamente as permissões do sistema de alto risco para interceptar caixas de entrada de SMS completas, coletar listas de contatos e rastrear continuamente as coordenadas GPS exatas. Essa inteligência coletada é sistematicamente preparada e exfiltrada para a infraestrutura controlada pelo atacante por meio de um ciclo de upload rápido. A combinação do rastreamento da localização de civis em tempo real durante ataques aéreos ativos e a capacidade de contornar o 2FA por meio da interceptação de SMS transforma essa campanha em um grave risco de segurança física e estratégica, exigindo protocolos de quarentena imediatos e bloqueio no nível da rede.

‍

‍

Análise estática: engenharia reversa

1. Conexão (antiadulteração e camuflagem) do gerenciador de pacotes

O código usa reflexão para conectar o IPackageManager (especificamente por meio do SPackageManager no ActivityThread).

• Falsificação de assinatura: Ele intercepta chamadas para GetPackageInfo. Se um sistema ou uma ferramenta de segurança solicitar os certificados de assinatura do aplicativo, o código retornará um assinatura codificada (decodificado da string Base64 em AttachBaseContext) em vez da real. Isso é usado para ignorar as verificações de assinatura que podem detectar se o APK foi modificado ou adulterado.
  
  
• Falsificação do instalador: No método invoke, ele intercepta getInstallerPackageName e o força a retornar “com.android.vending” (a Google Play Store). Isso faz com que o aplicativo pareça ter sido instalado oficialmente na Play Store, mesmo que tenha sido descarregado.

‍

ASSINATURA: Detalhamento da decodificação

1. Os bytes do cabeçalho (AQaaar8) Os primeiros bytes da string decodificada são instruções para o DataInputStream do malware sobre como ler a carga útil:

• 01: Indica que há exatamente 1 assinatura para ler.
• 00 00 02 BF: Este é um inteiro de 4 bytes representando o comprimento dos dados do certificado (703 bytes).

2. O certificado X.509 (WGGK7miiBo6ad...) Os 703 bytes restantes constituem o certificado real. A análise dessa estrutura ASN.1/DER revela os seguintes detalhes criptográficos:

• Assunto: C=IL (País: Israel)
• Emissor: C=IL (País: Israel)
• Válido a partir de: 12 de julho de 2014 (14:50:54 GMT)
• Válido para: 18 de junho de 2114 (14:50:54 GMT)
• Algoritmo: SHA256 com RSA
• Chave pública: RSA de 2048 bits

2. Carregamento dinâmico de carga útil (o ativo “umgdn”)

O método attachBaseContext contém uma rotina para extrair um arquivo oculto:

• Ele procura por um ativo chamado umgdn.
• Ele copia esse ativo para o diretório de arquivos interno do aplicativo (getFileStreamPath).
• É então atualiza manualmente o ApplicationInfo (especificamente SourceDir e publicSourceDir) para apontar para esse novo arquivo.

Por que isso é malicioso: Essa é uma técnica usada para carregar uma carga secundária “descartada” (como um arquivo.dex ou .so) e fazer com que o sistema acredite que está interagindo com o APK original. Ao atualizar o MappDir e o MappplicationInfo por meio de reflexão, o malware pode executar o código do arquivo umgdn e, ao mesmo tempo, ocultá-lo da inspeção padrão.

3. Uso intenso de reflexão e proxy

O código evita o uso direto das APIs padrão do Android, optando por:

• Class.forName (“android.app.ActivityThread”)
• Proxy.NewProxy Instance
• Manipulação direta de campos internos como mPM, mPackages e sPackageManager.

Fluxo de execução 

A cadeia de infecção do malware é dividida em três estágios distintos:

• Etapa 1: O carregador inicial (APK principal) O revestimento externo do APK atua principalmente como um dispositivo de camuflagem. Ele utiliza reflexão e conectores ao Gerenciador de Pacotes do Android (por exemplo, por meio da classe PMSDexHookApplication) para falsificar sua assinatura e ignorar as verificações iniciais de adulteração. Sua função principal é extrair e executar o ativo oculto do Estágio 2.
  
  
• Etapa 2: A carga intermediária (umgdn) Armazenado no diretório assets/ como um arquivo chamado umgdn (sem uma extensão de arquivo), esse componente é carregado dinamicamente na memória pelo Estágio 1. Ao tratar esse ativo bruto como um executável Dalvik (DEX), o malware desvia o caminho de execução dos componentes escaneáveis estaticamente do APK inicial.
  
  
• Etapa 3: A carga principal (DebugProbeskt.dex) Incorporado ou extraído pela carga útil do Estágio 2 está o executável malicioso final. Depois de carregado como um arquivo DEX, esse estágio implanta os principais recursos de spyware/trojan bancário, incluindo o estabelecimento de comunicação com a infraestrutura de Comando e Controle (C2).

‍

Análise dinâmica: execução e comportamento em tempo de execução

1. Execução e camuflagem da interface de usuário (UI): 

Durante a execução dinâmica, o pacote trojanizado (com.red.alertx) lança com sucesso e reflete perfeitamente a interface gráfica de usuário (GUI) do aplicativo oficial de alerta vermelho do Comando da Frente Interna de Israel. Para o usuário final, não há absolutamente nenhuma discrepância visual na funcionalidade principal, pois o aplicativo malicioso fornece ativamente alertas reais de ataques de foguetes para manter seu disfarce.

A divergência comportamental crítica ocorre exclusivamente durante a fase inicial de lançamento e integração do aplicativo. Embora o aplicativo legítimo restrinja sua solicitação estritamente ao acesso padrão de notificação a alertas push, a carga maliciosa solicita agressivamente à vítima permissões de sistema de alto risco (como Contatos, SMS e Localização), mascarando-as como requisitos necessários para as principais operações do aplicativo.

2. Comportamento de tempo de execução e gatilhos de exfiltração:

Uma vez executado, o malware inicia um tópico silencioso em segundo plano que pesquisa continuamente o sistema operacional Android em busca de alterações no estado de permissão. Ele não espera que um conjunto completo de permissões seja concedido; no momento em que o usuário aprova uma única permissão solicitada, o módulo de coleta de dados associado é acionado dinamicamente.

O malware foi observado transformando a inteligência coletada (incluindo a caixa de entrada de SMS, listas de contatos completas e coordenadas GPS em tempo real) em arquivos locais categorizados antes de iniciar seu ciclo de exfiltração.

3. Comunicações e infraestrutura de rede: 

A análise do tráfego de rede confirma que o malware mantém uma comunicação agressiva e persistente com sua infraestrutura de Comando e Controle (C2). Depois que os dados são armazenados localmente, um thread de upload dedicado é repetido, estabelecendo conexões de saída rápidas para transmitir a carga por meio de solicitações HTTP POST para https://api[.]ra-backup[.]com/analytics/submit.php.

Os seguintes endereços IP foram capturados durante a fase de execução dinâmica, representando a infraestrutura que facilita a exfiltração e as comunicações C2:

• 44,208,242,141
• 104,21,64,137
• 172,67,137,156
• 44,200.176,254
• 216,45,58,148

Nota: A presença dos endereços 104.21.x.x e 172.67.x.x indica que os agentes da ameaça estão usando a Cloudflare para proteger e proteger sua verdadeira infraestrutura de back-end, enquanto os endereços 44.x.x.x apontam para ambientes de hospedagem da AWS.

Indicador de compromisso:

Nome do aplicativo: RedAlert.apk

URLs:

• https [:] //www [.] shirideitch [.] com/wp-content/uploads/2022/06/Redalert [.] apk
• http [:] //bit [.] ly/3OZydSn
• https [:] //bit [.] ly/2O3fHex
• https [:] //bit [.] ly/3GFzoys
• https [:] //api [.] ra-backup [.] com/analytics/submit [.] php

Avaliação de impacto: contexto estratégico e geopolítico

1. Arma do pânico ativo em tempo de guerra (The Lure):

Com os ataques retaliatórios iranianos de mísseis balísticos e drones atacando ativamente o território israelense e as bases dos EUA no Golfo, os cidadãos estão desesperados por sistemas de alerta precoce em tempo real. Disfarçado de aplicativo oficial de “Alerta Vermelho” do Comando da Frente Interna de Israel, explora diretamente essa urgência de vida ou morte, garantindo virtualmente uma taxa de infecção excepcionalmente alta à medida que as vítimas ignoram a higiene de segurança padrão em busca de segurança.

2. Segmentação cinética e riscos de segurança física (rastreamento de localização):

No contexto de uma guerra ativa e multifacetada, a funcionalidade contínua de rastreamento por GPS do malware transcende a vigilância digital padrão. A geolocalização em tempo real de milhares de dispositivos infectados fornece aos adversários inteligência acionável e colaborativa. Esses dados podem ser usados como arma para mapear locais de abrigos civis, rastrear o movimento em massa de populações deslocadas ou identificar a concentração e o destacamento de reservistas da IDF, potencialmente otimizando o direcionamento das barragens de mísseis que chegam.

3. Coleta de inteligência estratégica (exfiltração de dados):

A exfiltração agressiva do AccountManager, das listas de contatos completas e da caixa de entrada de SMS do dispositivo permite que os agentes de ameaças patrocinados pelo estado mapeiem rapidamente os gráficos sociais da população infectada. Essa coleta de dados em massa permite a identificação de alvos de alto valor (HVTs), como militares, funcionários do governo ou prestadores de serviços de defesa, para exploração secundária. Além disso, a interceptação de comunicações por SMS em tempo real permite que os adversários ignorem o 2FA em redes de infraestrutura crítica ou conduzam uma guerra psicológica altamente direcionada (por exemplo, enviando mensagens SMS desmoralizantes ou enganosas durante apagões de infraestrutura).

4. Erosão da integridade da resposta a emergências:

Ao sequestrar com sucesso a marca e a funcionalidade de um aplicativo essencial para salvar vidas, essa campanha executa uma forma devastadora de guerra de informações. Se a população civil descobrir que os aplicativos de alerta de emergência estão fortemente trojanizados, a confiança do público nos canais oficiais de transmissão do governo entrará em colapso. Os cidadãos podem hesitar em instalar atualizações legítimas do Home Front Command ou começar a ignorar sirenes autênticas, aumentando diretamente o risco de vítimas civis durante os ataques aéreos em andamento.

Estratégias de remediação e mitigação

Para conter a ameaça representada pelo com.red.alertx Para evitar uma maior exfiltração de dados, as organizações e os indivíduos afetados devem implementar uma remediação tática imediata e defesas estratégicas de longo prazo.

1. Remediação imediata em nível de dispositivo

Dados os recursos abrangentes de coleta de dados do malware, confiar apenas na desinstalação padrão do aplicativo é insuficiente.

• Quarentena e desconexão de dispositivos: Isole imediatamente dispositivos suspeitos de comprometimento de todas as redes corporativas, Wi-Fi e dados de celular para cortar o circuito de exfiltração para os servidores C2.
• Revogação dos direitos do administrador: Navegue até Configurações > Segurança > Administradores de dispositivos e revogue quaisquer privilégios administrativos concedidos ao aplicativo “RedAlert” trojanizado.
• Redefinição de fábrica (recomendada): Devido à capacidade do malware de extrair dados profundos do sistema e potencialmente eliminar cargas secundárias, uma redefinição completa de fábrica do dispositivo infectado é o único método garantido para erradicar a ameaça. Os dispositivos não devem ser restaurados a partir de um backup criado após a data inicial da infecção.

2. Defesas de rede e infraestrutura

Os administradores de rede devem bloquear imediatamente todas as tentativas de comunicação com a infraestrutura do agente da ameaça.

• Bloqueio de DNS e URL: Afaste ou bloqueie todas as solicitações de DNS de saída e o tráfego HTTP/HTTPS para o domínio C2 primário:
  
  • api.ra-backup [.] com
• Lista de bloqueio de IP: Implemente uma filtragem de saída estrita no firewall de perímetro e no Secure Web Gateway (SWG) para os seguintes endereços IP C2 identificados. Observe que vários deles utilizam o roteamento da Cloudflare e da AWS para mascarar a verdadeira infraestrutura de back-end:
  
  • 216,45,58 [.] 148
• Análise de tráfego: Procure tráfego HTTP POST anômalo que ocorre em intervalos rígidos, o que é altamente indicativo do ciclo automatizado de teste e upload da carga.

3. Postura proativa de segurança e aplicação de políticas

Para evitar futuras infecções decorrentes da engenharia social em tempos de guerra e do desperdício de iscas:

• Aplicação do gerenciamento de dispositivos móveis (MDM): Configure as políticas de MDM para proibir estritamente a instalação de aplicativos de “fontes desconhecidas” (carregamento lateral). Restrinja os downloads de aplicativos exclusivamente à Google Play Store gerenciada.
• Auditoria de permissões de aplicativos: Utilize soluções MDM para auditar e sinalizar ativamente dispositivos que executam aplicativos com combinações de permissões de alto risco, especificamente a solicitação simultânea de READ_SMS, READ_CONTACTS, ACCESS_FINE_LOCATION e SYSTEM_ALERT_WINDOW.
• Treinamento de conscientização sobre segurança: Implemente rapidamente comunicações internas alertando o pessoal sobre a ameaça específica de agentes de ameaças que transformam o conflito Israel-Irã em uma arma por meio de phishing por SMS. Enfatize que os aplicativos oficiais de emergência do governo nunca solicitarão acesso a caixas de entrada de SMS ou listas de contatos completas.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia