Malware, exploits e vulnerabilidades em dispositivos
Categoria: Segurança, incidentes, malware, phishing e fraude digital
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre malware, exploits e vulnerabilidades em dispositivos no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Magnet AXIOM, ADB, PC-3000, WhatsApp. Os termos mais recorrentes neste tema incluem: android, https, mas, ele, versao, vai, esse, mais, caso, vulnerabilidade. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Avaliar uso forense de vulnerabilidades com cautela e autorização.
- Registrar fonte, versão e impacto do exploit.
- Evitar procedimentos que alterem dados sem necessidade.
Ferramentas, sistemas ou marcas citadas
UFEDMagnet AXIOMADBPC-3000WhatsAppPalavras-chave recorrentes
androidhttpsmaseleversaovaiessemaiscasovulnerabilidadefoiessafastbootvertambemprapelooutroDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 12/08/2017 20:30 a 20:30 — Malware, exploits e vulnerabilidades em dispositivos
http://resources.infosecinstitute.com/practical-android-phone-forensics/
Origem 002 — 23/05/2018 17:12 a 17:13 — Aqueles códigos pra verificar os status dos aparelhos também ajudam a reforçar a
Aqueles códigos pra verificar os status dos aparelhos também ajudam a reforçar a indicação de reset
Códigos USSD, no caso...
https://www.androidpit.com.br/codigos-secretos-para-android
Origem 003 — 03/10/2018 14:31 a 14:31 — Malware, exploits e vulnerabilidades em dispositivos
https://www.techtudo.com.br/dicas-e-tutoriais/2018/10/malware-ghostdns-em-roteadores-pode-roubar-dados-bancarios-de-usuarios.ghtml
Origem 004 — 22/03/2019 18:27 a 18:36 — Malware, exploits e vulnerabilidades em dispositivos
Por que só pesquisaram o Android? A Apple também espiona 🤔
Imagina... nem espiona...
[MENCAO] [MENCAO]
Origem 005 — 26/06/2019 17:42 a 18:53 — Bootloader, desbloqueio OEM e risco de wipe
Alguma sugestão para desbloquear e extrair o dispositivo informativo da imagem acima?
Android 6.0.1
O 4PC tem a opção de bootloader
Só temos o Cellebrite UFED 1.
Acho que ele e qualcomm 893x. Nisso, metodo edl öode funcionar
Procure por Generic Android
E localize a opção de EDL para o chipset
A foto mostra o Generic Android e as opções suportadas. O chipset do dispositivo em questão não tem suporte para o UFED 1.
Há essa opção de bootloarder, mas não consegui extrair.
Origem 006 — 28/06/2019 15:10 a 15:16 — Extração e root em dispositivos LG
Não tenho nenhuma versão de twrp flasheavel pra ele.. existe?
Vou dar uma pesquisada
"LG Optimus L7 — [Tutorial][TWRP] Instalação de Recovery no L7 [P700/705] | Fórum AndroidPIT" https://www.androidpit.com.br/forum/576256/lg-optimus-l7-tutorial-twrp-instalacao-de-recovery-no-l7-p700-705
como é Android 4, acho que não haverá problema em usar o Twrp.... eu não faria isso em Androids mais novos
pelo twrp dá para fazer um backup, aí talvez tenha algum dado importante
Origem 007 — 06/11/2019 11:28 a 11:39 — Malware, exploits e vulnerabilidades em dispositivos
Bom dia!
Alguém sabe como desinstalar o applock que bloqueia a configuração do Android?
Alguém sabe como desinstalar o applock que bloqueia a configuração do Android?
O Applock está oculto
Reinicia no modo de segurança e tenta desinstalar
Já encontrei aplicativos semelhantes com outro nome
Origem 008 — 18/12/2019 20:22 a 20:22 — Malware, exploits e vulnerabilidades em dispositivos
Quais versões de Android não funcionaram?
Origem 009 — 21/01/2020 14:11 a 14:12 — Malware, exploits e vulnerabilidades em dispositivos
Obrigado pelas informações👍👍
Não. É um áudio do app "Gravador de voz" do Android
Origem 010 — 15/04/2020 14:29 a 14:37 — Malware, exploits e vulnerabilidades em dispositivos
<Mídia oculta>
No tarde pessoal. Alguém sabe dizer se este Android é 8 ou 9 pela aparência?
No tarde pessoal. Alguém sabe dizer se este Android é 8 ou 9 pela aparência?
Coloque em modo recovery e verifique o número de compilação
Vai obter a versão exata
Acabei de ver que é 9. Sem sucesso no bypass com o UFED.
É possível/seguro tentar downgrade para o 8 ou 7?
https://pplware.sapo.pt/smartphones-tablets/android/impossivel-fazer-downgrade-android-oreo/
Rollback Protection, uma proteção que vai impedir que sejam instaladas versões mais antigas do Android
Origem 011 — 12/05/2020 10:32 a 10:46 — Um chute. Por ser cinza com laranja, lembra o confide
Um chute. Por ser cinza com laranja, lembra o confide.
https://getconfide.com/
https://play.google.com/store/apps/details?id=cm.confide.android&hl=pt_BR
Valeu [NOME], vou dar uma olhada nesse app
Origem 012 — 23/06/2020 15:41 a 15:41 — Em Android com inicialização segura vocês já conseguiram fazer física contornando bloqueio
Em Android com inicialização segura vocês já conseguiram fazer física contornando bloqueio?
Origem 013 — 27/07/2020 14:48 a 15:49 — Consegui resolver esse multilaser com senha. Tive que mudar no SPD manualmente a
Consegui resolver esse multilaser com senha. Tive que mudar no SPD manualmente a informação do tamanho da partição userdata. Ele estava fazendo readback de 4GB, mas o aparelho é de 16GB. Depois indexei no PA como Android MTK generic e pegou todos os bancos de dados.
👏🏻👏🏻. Qual o modelo? Pra eu já deixar anotado aqui q pelo spd vai
Multilaser E S101 Android GO
Usando a rom do site deles?
Baixei no multsync deles
Origem 014 — 06/08/2020 10:47 a 11:06 — E utilizando a regex boleto o malware ficar pesquisando
E utilizando a regex boleto o malware ficar pesquisando.
Mas essa alteração foi no conteúdo textual? Alteração de valor conta, alguma coisa assim?
Alteração na linha digitável direcionando para outro banco e invalidação do código de barras
Eu li uma vez que havia um vírus/malware que identificaria um boleto em pdf e alteraria o código de barras e a linha digitável
Ah sim. Então faz sentido poder ser alguma coisa lá no servidor ou no computador da pessoal que abriu o email. Seria uma fraude bem plausível alguém querer infectar computadores para alterar boletos e desviar o pagamento de boletos para a conta do bandido.
Sim. Tem o Bolware, mas pelo que entendi e faz isso na máquina do usuário, não sei como conseguiria a alteração de um anexo de webmail a partir da máquina do usuário.
Mas na verdade a pessoa baixa o anexo para a máquina dela né? Ou ficou alterado lá no servidor mesmo?
Tipo se ele abrir de novo já vai vir alterado
O que complicada é que o emissor é um banco em outro e Estado e também não tenho acesso as informações do servidor webmail que também fica em outro estado
O anexo já tá alterado
Alterar lá no servidor acho difícil. Só se o malware tiver infectado o próprio servidor. Ou então esse malware tava era no computador do remetente. Que alterou o boleto antes de enviar
Essas informações são do cabeçalho.
Origem 015 — 21/10/2020 19:15 a 20:12 — Extração e limitações em Motorola XT1022
Pessoal, apenas esclarecendo que o teste para saber se o aparelho é vulnerável à CVE-2016-10277 (initroot) consiste em:
1) iniciar o aparelho em fastboot
2) enviar o comando
fastboot oem config fsg-id "a androidboot.foo=bar"
3) Observar a tag utag, *confirmando que é possivel passar parâmetros para a inicialização do kernel do linux*. Segue um exemplo na imagem retirada do site do alepth.
1) iniciar o aparelho em fastboot
2) enviar o comando
fastboot oem config fsg-id "a androidboot.foo=bar"
3) Observar a tag utag, *confirmando que é possivel passar parâmetros para a inicialização do kernel do linux*. Segue um exemplo na imagem retirada do site do alepth.
<Mídia oculta>
Essa mensagem confirma a possibilidade de alterar a configuração do kernel do linux, notadamente, pela indicação de uma posição na memoria ram para a busca da *RAMFS*.
Essa mensagem confirma a possibilidade de alterar a configuração do kernel do linux, notadamente, pela indicação de uma posição na memoria ram para a busca da *RAMFS*.
Segue uma lista de aparelhos. Em alguns deles, há versões com e sem a vulnerabilidade.
xt1022, xt1021, xt1025, xt1032, xt1033 (8 e 16), xt1040, xt1068, xt1069 (8 e 16), xt1078, xt1097, xt1506, xt1514, xt1544, xt1556, XT1603, xt1672.
xt1022, xt1021, xt1025, xt1032, xt1033 (8 e 16), xt1040, xt1068, xt1069 (8 e 16), xt1078, xt1097, xt1506, xt1514, xt1544, xt1556, XT1603, xt1672.
<Mídia oculta>
download.pdf
download.pdf
Origem 016 — 26/10/2020 08:11 a 09:12 — Root e extração em dispositivo Positivo
Bom dia. Colegas, sabem informar se o android armazena alguma informação de IPs utilizados pelo dispositivo?
https://digital-forensics.sans.org/media/DFIR_FOR585_Digital_Poster.pdf
Talvez tenha algo em /data/com.android.connectivity.metrics/databases/events.db
Origem 017 — 19/11/2020 19:35 a 19:41 — Malware, exploits e vulnerabilidades em dispositivos
Boa noite. Pessoal, quais são os aplicativos espião que os infratores mais utilizam para ficar monitorando os aparelhos?
https://xnspy.com/pt/top-10-android-spy-apps.html
Origem 018 — 19/02/2021 16:05 a 16:05 — Obrigado , vamos tentar por aqui
Obrigado [NOME], vamos tentar por aqui, mas é android.
Origem 019 — 20/03/2021 07:52 a 07:52 — Extração e compatibilidade em Samsung SMARTPHONE
Bom dia!
Já fiz a física de um smartphone positivo usando "Android Genérico" ou "Android chinês genérico" no UFED.
Já fiz a física de um smartphone positivo usando "Android Genérico" ou "Android chinês genérico" no UFED.
Origem 020 — 25/03/2021 11:31 a 11:37 — Conexão USB, ADB e diagnóstico de porta em Android
Tem a opção de Advanced ADB para esse modelo no UFED?
pra versão do android dele?
Se for tudo certo, logo, existe a possibilidade dele ser vulnerável a um softroot. Isso é, vc instalaria um programa via SDCARD para root, e realizaria o serviço todo por terminal no próprio aparelho
Ele é Android 8.0... Mas o patch é junho de 2020... Normalmente o UFED diz que faz até NOV-2016. O q vc acha?
aí vc pode testar essa vulnerabilidade aqui:
https://github.com/j0nk0/GetRoot-Android-DirtyCow
https://github.com/j0nk0/GetRoot-Android-DirtyCow
Esse CVE é de 2016, talvez por isso o UFED já limite para o patch de NOV-2016
Acho que existe grande chance de não funcionar. Esse patch de 06/2020 é muito recente. Teria que procurar um CVE mais atual para tentar o root
Origem 021 — 19/04/2021 15:34 a 15:34 — Extração e análise de mensagens do WhatsApp
https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/
Few vulnerabilities in WhatsApp for Andriod discovered that allow an attacker to send an HTML file attachment full access to the user's media, voice notes, pictures, and eventually chat messages (through TLS session resumption keys).
Few vulnerabilities in WhatsApp for Andriod discovered that allow an attacker to send an HTML file attachment full access to the user's media, voice notes, pictures, and eventually chat messages (through TLS session resumption keys).
Origem 022 — 02/06/2021 19:11 a 19:11 — Extração e análise de dados em iPhone/iOS
☝️CVE-2021-1782: race condition + use after free nos _Mach Vouchers do XNU_. Vulnerabilidade amplamente utilizada pelo *unc0ver* no jailbreak dos aparelhos com IOs que não estão sujeitos ao checkm8. Será que a Cellebrite teria interesse em incorporar? POC tá no github já faz 4 meses...
Origem 023 — 14/10/2021 18:50 a 18:55 — Malware, exploits e vulnerabilidades em dispositivos
<Mídia oculta>
Boa tarde, alguém sabe dizer se essa pasta onde o vídeo está salvo é aquela lixeira da galeria nos celulares Android?
Boa tarde, alguém sabe dizer se essa pasta onde o vídeo está salvo é aquela lixeira da galeria nos celulares Android?
https://athenaforensics.co.uk/com-sec-android-gallery3d-mobile-phone-forensics/
"In addition to this, when the original version of the image is deleted, the copy of it within the com.sec.android.gallery3d is not removed."
Origem 024 — 10/12/2021 09:48 a 11:55 — Extração e decodificação de bancos do WhatsApp
Depois envio o link como é realizado o desbloqueio, caso precise agora ou no futuro.
maravilha!!! Fico no aguardo. 😁🙌🏼
Realizando a cópia física do Macbook Air usando [NOME] para USB.
Foi retirada a criptografia da memória ssd.
Neste caso, tinhas a senha [SEGREDO], você acessou o SO removeu a cripto?
Bom dia, pessoal.
Queria entender uma tentativa de golpe que meus cunhados sofreram. O meu cunhado recebeu uma mensagem de whatsapp da irmã dele. Tinha a foto dela, mas o número era diferente. A minha dúvida é: como a pessoa conseguiu os contatos dela sendo que o número é diferente. Se fosse a clonagem de número, eu entenderia porque teria vindo a agenda. Alguém tem alguma ideia?
Queria entender uma tentativa de golpe que meus cunhados sofreram. O meu cunhado recebeu uma mensagem de whatsapp da irmã dele. Tinha a foto dela, mas o número era diferente. A minha dúvida é: como a pessoa conseguiu os contatos dela sendo que o número é diferente. Se fosse a clonagem de número, eu entenderia porque teria vindo a agenda. Alguém tem alguma ideia?
Trojans tb. Vira e mexe descobrem trojans mutantes na própria appstore. Recentemente pegaram vários pdf readers e leitores de qrcode com captadores de tokens bancários (surpreendentemente na lista de app não vi bancos brasileiros).
https://www.bleepingcomputer.com/news/security/android-banking-malware-infects-300-000-google-play-users/
Obrigada a todos pela ajuda. 🙌🏼
https://support.apple.com/pt-br/guide/mac-help/mchlp2560/mac
Desativar a criptografia do Mac.
STK-20211210-WA0004.webp (arquivo anexado)
Origem 025 — 24/07/2022 11:07 a 13:12 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Nesse caso, com essa metodologia, ele só consegue em versão específica do Android?
Em qualquer versão de Android, desde que o CVE-2016-10277 nunca tenha sido corrigido. No caso do moto G1 e G2, nunca foram.
A diferença é a configuração do exploit. Isso pode mudar conforme versão da build e versão do Android.
Esse vc faz o pacote do exploit na mão. Não é algo pronto como disponibilizado pelas ferramentas. [MENCAO] é o gênio em configuração dos pacotes para cada equip.
Os peritos do PR são diferenciado. Estão sempre compartilhando informação. Parabéns!
Bom dia! Qual é a demanda reprimida de exames de celulares na seção/departamento de vocês? Aqui estamos com 1.300.
Montes Claros - Norte de Minas: 1000
Eita! Apenas uma cidade do interior de Minas.
Esse rola edl também, mas precisa cortar a carcaça traseira pra alcançar os pontos
Ceará 6.300 requisições de perícia pendentes. Facilmente deve chegar a 20000 itens pendentes de perícia
Isso inclui celulares e computadores também
Tem aí os test points?
Estou procurando aqui tbm
Colega aqui da PCDF fez o "kit" do initroot do xt1033
https://github.com/leosol/initroot
https://github.com/leosol/initroot
<Mídia oculta>
initroot-modified.cpio.gz
initroot-modified.cpio.gz
Motorola XT1033
1 - COLOQUE O CELULAR NO MODO FASTBOOT (POWER + VOL-)
2- fastboot flash aleph initroot-modified.cpio.gz (o arquivo deve estar no diretório)
3- fastboot oem config fsg-id "a initrd=0x11800000,872857"
4- fastboot continue
Se o celular entrar em loop, volte para o passo 1 e digite:
fastboot oem config fsg-id ""
5- adb shell (Para verificar o acesso root. Se não funcionar, volte para o passo 1)
6- exit
7- adb pull /dev/block/mmcblk0 -a imagem-xt1033.bin
1 - COLOQUE O CELULAR NO MODO FASTBOOT (POWER + VOL-)
2- fastboot flash aleph initroot-modified.cpio.gz (o arquivo deve estar no diretório)
3- fastboot oem config fsg-id "a initrd=0x11800000,872857"
4- fastboot continue
Se o celular entrar em loop, volte para o passo 1 e digite:
fastboot oem config fsg-id ""
5- adb shell (Para verificar o acesso root. Se não funcionar, volte para o passo 1)
6- exit
7- adb pull /dev/block/mmcblk0 -a imagem-xt1033.bin
Tem que ver a versão do firmware, e usar o pacote para a versão certa, caso contrário provavelmente não vai funcionar. Só para o Xt1033 tenho uns 5 diferentes que tive que montar.
Isso, [MENCAO] ! Nos meus esse tem dado certo. Acho q foi vc q me passou, inclusive. 👍🏻👏🏻
Ou foi o [MENCAO] . Não lembro ao certo. 🤣🤣
Galera do Paraná sempre nos ajudando. Obg 👊🏻
Origem 026 — 26/07/2022 09:01 a 09:01 — Malware, exploits e vulnerabilidades em dispositivos
https://pplware.sapo.pt/smartphones-tablets/android/voltou-a-praga-do-malware-ao-android-agora-sao-50-apps-com-o-conhecido-joker/
Origem 027 — 14/11/2022 10:05 a 10:59 — Proprietário de telefone Android dribla segurança e desbloqueia celular "sem querer" - Olhar
Proprietário de telefone Android dribla segurança e desbloqueia celular "sem querer" - Olhar Digital - https://olhardigital.com.br/2022/11/13/seguranca/proprietario-do-telefone-android-dribla-seguranca-e-desbloqueia-celular-sem-querer/
Tá um pouco imprecisa essa reportagem
https://www.androidpolice.com/one-minute-hack-allowed-lock-screen-bypass-on-android-current-pixels-are-safe/
Testamos em oneplus 8t e 9r, mas não deu certo. Não tínhamos pixel para testar
Pixel + desatualizado + parar na perícia = pouco provável
No Ceará temos celulares de 2013 ainda para fazer, então a probabilidade de pegar alguns vulneráveis é até grande 😅
Aqui em Alagoas ainda temos alguns casos de 2018 😅
Isso porque em 2013, quando entramos, fizemos uma limpa no estoque de informática, devolvendo dizendo que não tínhamos ferramentas para fazer a perícia.
Origem 028 — 03/12/2022 10:55 a 11:27 — Malware, exploits e vulnerabilidades em dispositivos
Bom dia pessoal, apenas uma curiosidade...
alguém aqui já participou em perícia de algum caso de ataque cibernético? Ataque de Ransomware, _defacement_, etc?
alguém aqui já participou em perícia de algum caso de ataque cibernético? Ataque de Ransomware, _defacement_, etc?
bom dia. Aqui no CE já fizemos um sobre um defacement em servidores de um órgão do Estado
a vulnerabilidade foi a GhostCat.. os invasores picharam algumas páginas e tentaram subtrair alguns dados
o material atacado já foi analisado. atualmente estamos com material de supostos autores
bacana! Aqui no DF deve estar numa média de 1 a cada 2 meses (palpite)
talvez o [MENCAO] saiba melhor...
acho que vale a pena começar a pensar a tratar desse assunto aqui no grupo
talvez o [MENCAO] saiba melhor...
acho que vale a pena começar a pensar a tratar desse assunto aqui no grupo
(naturalmente, sem entrar em detalhes que compromentam a investigação)
mais no sentido de evoluir no tratamento desse tipo de incidente....
muitas vezes, a vulnerabilidade acaba sendo a mesma que de outro estado
muitas vezes, a vulnerabilidade acaba sendo a mesma que de outro estado
Concordo. Seria bem interessante
Origem 029 — 06/02/2023 19:58 a 20:04 — ALERTA DE ATAQUE EM GRANDE ESCALA / No dia 03 de fevereiro, foi
*ALERTA DE ATAQUE EM GRANDE ESCALA*
No dia 03 de fevereiro, foi publicado no site da Bleeping Computer pela equipe
francesa de resposta a incidentes (CERT-FR) um aviso sobre um ataque maciço do
Ransomware ESXiArgs. O foco deste ransomware era para com os servidores VMware
ESXi sem correção contra uma vulnerabilidade de execução remota de código, já
publicada há mais de 2 anos.
As vulnerabilidades foram rastreadas como CVE-2021-21974 e CVE-2020-3992,
que ocasionam uma falha de segurança causada por um problema de estouro de heap
no serviço OpenSLP. Na porta 427 em uma máquina ESXi poderá ser adicionado um
“use-after-free” no serviço OpenSLP, ocasionando a execução remota do código.
https://twitter.com/heimdallish/status/1622701195847426049
No dia 03 de fevereiro, foi publicado no site da Bleeping Computer pela equipe
francesa de resposta a incidentes (CERT-FR) um aviso sobre um ataque maciço do
Ransomware ESXiArgs. O foco deste ransomware era para com os servidores VMware
ESXi sem correção contra uma vulnerabilidade de execução remota de código, já
publicada há mais de 2 anos.
As vulnerabilidades foram rastreadas como CVE-2021-21974 e CVE-2020-3992,
que ocasionam uma falha de segurança causada por um problema de estouro de heap
no serviço OpenSLP. Na porta 427 em uma máquina ESXi poderá ser adicionado um
“use-after-free” no serviço OpenSLP, ocasionando a execução remota do código.
https://twitter.com/heimdallish/status/1622701195847426049
Interessante monitorar a frequência de ocorrência de casos relacionados
Mano, VMware gosta reinventar o mesmo bug?
Origem 030 — 26/06/2023 07:57 a 08:26 — Extração e análise de dados em iPhone/iOS
bom dia, algum colega tem procedimento para casos de bolware? Tenho a máquina suspeita mas não foi ligada, apenas gerada a imagem do HD.
acho que o procedimento é o mesmo para malwares
passar no modulo anti-malware do PA ?
É maquininha de pagamento?
suspeito de adulteracao de boleto
Vc pode usar de duas abordagem, inclusive as duas para o mesmo exame:
a análise estática e a dinâmica
na estática, vc pode montar essa imagem read-only e de pronto rodar um antivirus atualizado.
Se der match em algum malware de POT etc..., ótimo, vc já tem o alvo de exame, ver o comportamento do malware, o vetor de infecção ios rastros que ele deixou de excução etc...
Se vc não achar nada, aí vc vai ter que examinar mais a fundo nos programas, principalmente programas de controle remoto (RDP, TeamViewer, Anydesk, etc...), e ver a integridade do browser, se está ok. Ver os vestígios de e-mails, mensagens etc... para ver se o usuário clicou em algum instalador...ver os logs de instalação. etc...
Tem programa que altera o browser, como os da família do Zeus.
Se não achar nada de anormal na estática, eu partiria para dinâmica. Nessa vc vai rodar essa imagem em uma VM (p.ex. Virtual box) e analisar tráfego de rede, e execução de processos procurando algo de anormal
essa abordagem que pensei em fazer
para tentar achar se tem alguma comunicaçao estranha com uma central de comando, ou se tem processos estranhos em execução, keyloggers,.
Tb é bom ver a integridade do próprio sistema operacional
Tb é bom ver a integridade do próprio sistema operacional
Os malwares bancários mais sofisticados alteram o renderizador html do browser e têm keyloggers instalados. cara pode até digitar o boleto certo, mas ele vai e troca o numero dele, o valor e renderiza os dados do original na tela com se tivesse sido pago corretamente
Porra excelente explicação 👏🏼👏🏼👏🏼👏🏼
e se vc tirar um extrato ele até tira o valor pago do extrato.
Origem 031 — 14/11/2023 12:12 a 12:46 — Malware, exploits e vulnerabilidades em dispositivos
Boa tarde. Alguém aqui já conseguiu extrair um Android com o software de financiamento da Nuovopay (https://nuovopay.com) instalado? Ele bloqueia o aparelho em caso de não pagamento da mensalidade e inviabilisa até o safeboot.
peguei um uma vez e não consegui, mas na época não tinha premium
Origem 032 — 12/12/2023 14:15 a 14:51 — O aplicativo com.google.Android.apps.speechservices tem um arquivo de áudio interessante
Boa tarde. O aplicativo com.google.android.apps.speechservices tem um arquivo de áudio interessante pro caso aqui, de nome "VoiceSearchOriginalAudioRecording1.amr"
Vocês saberiam dizer em que situação esse app grava o aúdio? Seria o app do "ok google" ou outro sistema?
Em quais situações tal app grava o áudio?
Pelo que pesquisei, é um serviço que várias outras apps podem usar para tts (text2speech), ou o contrário speech2text, tipo: google maps, google tradutor, aplicativo do telefone de discagem, acesso por voz etc...
Ele em tese não grava voz livremente o tempo todo,só quando voluntariamente solicitado <Mensagem editada>
Ele em tese não grava voz livremente o tempo todo,só quando voluntariamente solicitado <Mensagem editada>
Origem 033 — 02/02/2024 11:44 a 13:17 — Extração e limitações em dispositivos Motorola
vendo o código em (https://cs.android.com/android/platform/superproject/main/+/main:frameworks/base/services/core/java/com/android/server/power/stats/BatteryStatsImpl.java;l=1?q=BatteryStatsImpl.java&ss=android%2Fplatform%2Fsuperproject%2Fmain) aparentemente a classe faz estatísticas diárias de bateria algumas aplicações usam. Aí se vc ver, ele usa a função upTimeMillis() do relógio de sistema para pegar a base de tempo para calcular os "deltas". Essa método retorna o tempo (em milissegundos) desde que o dispositivo foi iniciado. No entanto, este método inclui o tempo em que o dispositivo esteve em modo de suspensão.
imagino que talvez, ele ficou nesse relogio contando. Quando aparelho foi ligado, ele incrementou o delta e por isso talvez tenha marcado para algo depois da apreensão
aí como ele grava periódicamnete. Qual a data de modificação desse arquivo?
tô vendo, na linha 11180, né?
com.android.internal.logging.EventLogTags.writeCommitSysConfigFile(
"batterystats-daily",
initialTimeMs + SystemClock.uptimeMillis() - startTimeMs2);
"batterystats-daily",
initialTimeMs + SystemClock.uptimeMillis() - startTimeMs2);
Do batterystats-daily é 05/01/2023 08:55
passando o olho rápido aqui para entender melhor...mas tem esse lance dele ficar trabalhando com deltas
vai que pode ser isso o motivo dele atualizar esse contadores estranhamente já que ele considera o aparelho em suspensão e vai que o aparelho não ficou "desligado" sem bateria
Tá complicado, ao mesmo tempo tá bem incerto para o colega conseguir cravar algo em laudo <Mensagem editada>
sobre a questão das tentativas de desbloqueio de tela, as que efetivamente superaram e as que falharam, seria esse arquivo também ou há outro?
Analisei um Motorola G9 Android 11 Hoje.... Na seção timeline era bem rico, inclusive os registros de desbloqueio
Origem 034 — 23/08/2024 21:06 a 21:13 — Root e extração em SMATPHONES
https://www.linkedin.com/posts/lukasstefanko_blackhat2024-activity-7227232627567570944-BqZ7?utm_source=share&utm_medium=member_desktop
Nova vulnerabilidade descoberta pelo _Red Team_ da Google (CVE-2024-23380), divulgada no perfil do Lukas Stefanko no LinkedIn, explora vulnerabilidade em GPU de smatphones Android, permitindo escalar privilégio e acessar o _root shell_ .
https://docs.qualcomm.com/product/publicresources/securitybulletin/july-2024-bulletin.html
Chipsets afetados.
Origem 035 — 28/08/2024 15:04 a 15:04 — Malware, exploits e vulnerabilidades em dispositivos
Boa tarde pessoal.
Aqui no DF fizemos um trabalho com malwares bancários pra Android.
Estão chegando alguns pedidos de perícia em celulares submetidos a wipe depois de terem sido infectados por RATs.
Os criminosos usam engenharia social pra fazer a vítima instalar uma variante do CraxsRat.
No artigo abaixo, explicamos a metodologia utilizada nesses casos, pra chegar no C&C.
Dependendo de onde está hospedado, a máquina do C&C pode ser alvo de análise tb, depois de pedido de preservação. Em muitos casos, há vestígios interessantes de autoria.
Fica ai nossa contribuição.
Caso algum estado esteja recebendo esse tipo de pedido, gostaria de saber como estão atuando.
Aqui no DF fizemos um trabalho com malwares bancários pra Android.
Estão chegando alguns pedidos de perícia em celulares submetidos a wipe depois de terem sido infectados por RATs.
Os criminosos usam engenharia social pra fazer a vítima instalar uma variante do CraxsRat.
No artigo abaixo, explicamos a metodologia utilizada nesses casos, pra chegar no C&C.
Dependendo de onde está hospedado, a máquina do C&C pode ser alvo de análise tb, depois de pedido de preservação. Em muitos casos, há vestígios interessantes de autoria.
Fica ai nossa contribuição.
Caso algum estado esteja recebendo esse tipo de pedido, gostaria de saber como estão atuando.
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0
Origem 036 — 09/04/2025 09:31 a 10:09 — Extração e análise de dados em iPhone/iOS
na pasta DCIM, tem uma subpasta "screenshots"
É isso mesmo? Não tá fazendo AFU ainda iOS 18.3.1?
Em 10fev25 a Apple corrigiu uma vulnerabilidade (CVE-2025-24200) que a Cellebrite e a Magnet usavam para extração.
Desde então, >= 18.3.1 não se tem vulnerabilidade 0day conhecida por essas empresas.
Eu achava que eles tinham pelo menos uma 0day "na manga" em caso disso acontecer, mas parece que não tinham.
Desde então, >= 18.3.1 não se tem vulnerabilidade 0day conhecida por essas empresas.
Eu achava que eles tinham pelo menos uma 0day "na manga" em caso disso acontecer, mas parece que não tinham.
😕 mais um celular quente que vai reiniciar em 72h e não temos o que fazer...
Graykey tá fazendo AFU de 18.3.1?
Não, até uns dias atrás. Não sei hoje <Mensagem editada>
Origem 037 — 11/04/2025 05:23 a 05:23 — Extração e análise de dados em iPhone/iOS
Prepara que provavelmente quem não vai mais desbloquear fácil além dos ios são os androids novos, caso não tenham 0day guardados na manga:
https://www.malwarebytes.com/blog/news/2025/04/google-fixes-two-actively-exploited-zero-day-vulnerabilities-in-android
https://www.malwarebytes.com/blog/news/2025/04/google-fixes-two-actively-exploited-zero-day-vulnerabilities-in-android
Origem 038 — 17/04/2025 20:08 a 21:53 — For security, Android phones will now auto-reboot after three days / / Source
Sim, também aqui e não foi. Esse aí já devia estar com o acessórios USB ativo, algo assim, n?
A Apple corrigiu a vulnerabilidade
Cara não tem como saber
For security, Android phones will now auto-reboot after three days
Source: TechCrunch
https://search.app/VFxPd
Shared via the Google App
Source: TechCrunch
https://search.app/VFxPd
Shared via the Google App
Origem 039 — 11/06/2025 19:31 a 20:16 — Malware, exploits e vulnerabilidades em dispositivos
Alguém mais atualizou o premium para a versão beta 7.74 e observou que nenhum android está exploitando?
Só para saber se é geral ou apenas algo de ruim aqui
Só para saber se é geral ou apenas algo de ruim aqui
Eita. Ainda bem que não…
Vou esperar a versão final que disseram que vai incluir o exploit para o bloqueio de usb
Aqui atualizamos e deixamos 2 premium com as 2 últimas versões. É raro, mas acontece com frequência uma versão mais antiga extrair e a vigente não. Rs
Origem 040 — 24/09/2025 16:28 a 16:31 — Malware, exploits e vulnerabilidades em dispositivos
tu tá com celular ? dá pra pegar numa pasta do Android a versao que está instalada no celular
Consegui agora no Inseyets 10.4 <Mensagem editada>
<Mídia oculta>
O resource não tá aparecendo mas é o 7.72 pelo download
O resource não tá aparecendo mas é o 7.72 pelo download
Origem 041 — 21/10/2025 14:26 a 14:35 — Extração e bloqueios em RMX3930
Boa tarde
Alguém já fez realme RMX3930?
Já fiz todas as combinações de teclas e não dá continuidade.
Alguém já fez realme RMX3930?
Já fiz todas as combinações de teclas e não dá continuidade.
É um unisoc T612
Segundo o PC3k, seria Vol down apenas.
Com o celular desligado. Se possível remover a bateria.
Com o celular desligado. Se possível remover a bateria.
Fiz com ele desligado. Apertei vol- e power e ele liga
Acho que é a nova versão do Android
Semana passada estava com dois RMX3438. Um fez, o outro não. Verão de android
Não lembro direito, mas lembro que era meio macetoso. Tipo só aperta o power segundos depois
Mas apenas vol down? <Mensagem editada>
Vou tentar assim [NOME]
Agora estou com outro na máquina
Vou ver se acho anotado aqui em algum lugar
[NOME], as versões de Android, até 14, vão bem. Daí em diante que enrosca
Estou com Xiaomi na versão 15 que também não vai e a cellebrite não resolve.
Origem 042 — 19/12/2025 01:09 a 01:09 — / logs do Android.HTML
<Mídia oculta>
logs do Android.HTML
logs do Android.HTML
Origem 043 — 26/02/2026 18:52 a 18:56 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Esse chipset você confirmou onde?
Temos 2 registros desse e eram QC.
No site do tudoCelular tbm indica QC <Mensagem editada>
Temos 2 registros desse e eram QC.
No site do tudoCelular tbm indica QC <Mensagem editada>
O android dele é bem antigo(2.3), não vai dae boa no premium.
Premium desenrola melhor no android 6 ou superior. Mais antigo é mega raro. <Mensagem editada>
Premium desenrola melhor no android 6 ou superior. Mais antigo é mega raro. <Mensagem editada>
No nosso caso, fizemos fisica nesse s5830c, mas foi jtag 🥲
O celular reiniciou e acabou dando certo. 🤡😅 obrigado, Hempk!