Wiki CompFor
Segurança, incidentes, malware, phishing e fraude digital

Malware, exploits e vulnerabilidades em dispositivos

Categoria: Segurança, incidentes, malware, phishing e fraude digital

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre malware, exploits e vulnerabilidades em dispositivos no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, Magnet AXIOM, ADB, PC-3000, WhatsApp. Os termos mais recorrentes neste tema incluem: android, https, mas, ele, versao, vai, esse, mais, caso, vulnerabilidade. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Avaliar uso forense de vulnerabilidades com cautela e autorização.
  • Registrar fonte, versão e impacto do exploit.
  • Evitar procedimentos que alterem dados sem necessidade.

Ferramentas, sistemas ou marcas citadas

UFEDMagnet AXIOMADBPC-3000WhatsApp

Palavras-chave recorrentes

androidhttpsmaseleversaovaiessemaiscasovulnerabilidadefoiessafastbootvertambemprapelooutro

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 12/08/2017 20:30 a 20:30 — Malware, exploits e vulnerabilidades em dispositivos

12/08/2017 20:30 · Membro 0011
http://resources.infosecinstitute.com/practical-android-phone-forensics/

Origem 002 — 23/05/2018 17:12 a 17:13 — Aqueles códigos pra verificar os status dos aparelhos também ajudam a reforçar a

23/05/2018 17:12 · Membro 0008
Aqueles códigos pra verificar os status dos aparelhos também ajudam a reforçar a indicação de reset
23/05/2018 17:13 · Membro 0008
Códigos USSD, no caso...
23/05/2018 17:13 · Membro 0008
https://www.androidpit.com.br/codigos-secretos-para-android

Origem 003 — 03/10/2018 14:31 a 14:31 — Malware, exploits e vulnerabilidades em dispositivos

03/10/2018 14:31 · Membro 0009
https://www.techtudo.com.br/dicas-e-tutoriais/2018/10/malware-ghostdns-em-roteadores-pode-roubar-dados-bancarios-de-usuarios.ghtml

Origem 004 — 22/03/2019 18:27 a 18:36 — Malware, exploits e vulnerabilidades em dispositivos

22/03/2019 18:27 · Membro 0072
Por que só pesquisaram o Android? A Apple também espiona 🤔
22/03/2019 18:28 · Membro 0018
Imagina... nem espiona...
22/03/2019 18:36 · Membro 0058
[MENCAO] [MENCAO]

Origem 005 — 26/06/2019 17:42 a 18:53 — Bootloader, desbloqueio OEM e risco de wipe

26/06/2019 17:42 · Membro 0021
Alguma sugestão para desbloquear e extrair o dispositivo informativo da imagem acima?
26/06/2019 17:43 · Membro 0021
Android 6.0.1
26/06/2019 17:46 · Membro 0042
O 4PC tem a opção de bootloader
26/06/2019 17:52 · Membro 0021
Só temos o Cellebrite UFED 1.
26/06/2019 17:56 · Membro 0048
Acho que ele e qualcomm 893x. Nisso, metodo edl öode funcionar
26/06/2019 18:44 · Membro 0042
Procure por Generic Android
26/06/2019 18:45 · Membro 0042
E localize a opção de EDL para o chipset
26/06/2019 18:48 · Membro 0021
A foto mostra o Generic Android e as opções suportadas. O chipset do dispositivo em questão não tem suporte para o UFED 1.
26/06/2019 18:53 · Membro 0021
Há essa opção de bootloarder, mas não consegui extrair.

Origem 006 — 28/06/2019 15:10 a 15:16 — Extração e root em dispositivos LG

28/06/2019 15:10 · Membro 0023
Não tenho nenhuma versão de twrp flasheavel pra ele.. existe?
28/06/2019 15:10 · Membro 0023
Vou dar uma pesquisada
28/06/2019 15:15 · Membro 0072
"LG Optimus L7 — [Tutorial][TWRP] Instalação de Recovery no L7 [P700/705] | Fórum AndroidPIT" https://www.androidpit.com.br/forum/576256/lg-optimus-l7-tutorial-twrp-instalacao-de-recovery-no-l7-p700-705
28/06/2019 15:16 · Membro 0072
como é Android 4, acho que não haverá problema em usar o Twrp.... eu não faria isso em Androids mais novos
28/06/2019 15:16 · Membro 0072
pelo twrp dá para fazer um backup, aí talvez tenha algum dado importante

Origem 007 — 06/11/2019 11:28 a 11:39 — Malware, exploits e vulnerabilidades em dispositivos

06/11/2019 11:28 · Membro 0060
Bom dia!
Alguém sabe como desinstalar o applock que bloqueia a configuração do Android?
06/11/2019 11:29 · Membro 0060
O Applock está oculto
06/11/2019 11:30 · Membro 0009
Reinicia no modo de segurança e tenta desinstalar
06/11/2019 11:39 · Membro 0094
Já encontrei aplicativos semelhantes com outro nome

Origem 008 — 18/12/2019 20:22 a 20:22 — Malware, exploits e vulnerabilidades em dispositivos

18/12/2019 20:22 · Membro 0072
Quais versões de Android não funcionaram?

Origem 009 — 21/01/2020 14:11 a 14:12 — Malware, exploits e vulnerabilidades em dispositivos

21/01/2020 14:11 · Membro 0094
Obrigado pelas informações👍👍
21/01/2020 14:12 · Membro 0094
Não. É um áudio do app "Gravador de voz" do Android

Origem 010 — 15/04/2020 14:29 a 14:37 — Malware, exploits e vulnerabilidades em dispositivos

15/04/2020 14:29 · Membro 0096
<Mídia oculta>
No tarde pessoal. Alguém sabe dizer se este Android é 8 ou 9 pela aparência?
15/04/2020 14:29 · Membro 0042
Coloque em modo recovery e verifique o número de compilação
15/04/2020 14:29 · Membro 0042
Vai obter a versão exata
15/04/2020 14:33 · Membro 0096
Acabei de ver que é 9. Sem sucesso no bypass com o UFED.
15/04/2020 14:33 · Membro 0096
É possível/seguro tentar downgrade para o 8 ou 7?
15/04/2020 14:36 · Membro 0042
https://pplware.sapo.pt/smartphones-tablets/android/impossivel-fazer-downgrade-android-oreo/
15/04/2020 14:37 · Membro 0042
Rollback Protection, uma proteção que vai impedir que sejam instaladas versões mais antigas do Android

Origem 011 — 12/05/2020 10:32 a 10:46 — Um chute. Por ser cinza com laranja, lembra o confide

12/05/2020 10:32 · Membro 0048
Um chute. Por ser cinza com laranja, lembra o confide.
12/05/2020 10:36 · Membro 0048
https://getconfide.com/
12/05/2020 10:36 · Membro 0048
https://play.google.com/store/apps/details?id=cm.confide.android&hl=pt_BR
12/05/2020 10:46 · Membro 0090
Valeu [NOME], vou dar uma olhada nesse app

Origem 012 — 23/06/2020 15:41 a 15:41 — Em Android com inicialização segura vocês já conseguiram fazer física contornando bloqueio

23/06/2020 15:41 · Membro 0096
Em Android com inicialização segura vocês já conseguiram fazer física contornando bloqueio?

Origem 013 — 27/07/2020 14:48 a 15:49 — Consegui resolver esse multilaser com senha. Tive que mudar no SPD manualmente a

27/07/2020 14:48 · Membro 0117
Consegui resolver esse multilaser com senha. Tive que mudar no SPD manualmente a informação do tamanho da partição userdata. Ele estava fazendo readback de 4GB, mas o aparelho é de 16GB. Depois indexei no PA como Android MTK generic e pegou todos os bancos de dados.
27/07/2020 15:48 · Membro 0088
👏🏻👏🏻. Qual o modelo? Pra eu já deixar anotado aqui q pelo spd vai
27/07/2020 15:48 · Membro 0117
Multilaser E S101 Android GO
27/07/2020 15:49 · Membro 0088
Usando a rom do site deles?
27/07/2020 15:49 · Membro 0117
Baixei no multsync deles

Origem 014 — 06/08/2020 10:47 a 11:06 — E utilizando a regex boleto o malware ficar pesquisando

06/08/2020 10:47 · Membro 0044
E utilizando a regex boleto o malware ficar pesquisando.
06/08/2020 10:49 · Membro 0078
Mas essa alteração foi no conteúdo textual? Alteração de valor conta, alguma coisa assim?
06/08/2020 10:50 · Membro 0044
Alteração na linha digitável direcionando para outro banco e invalidação do código de barras
06/08/2020 10:51 · Membro 0018
Eu li uma vez que havia um vírus/malware que identificaria um boleto em pdf e alteraria o código de barras e a linha digitável
06/08/2020 10:52 · Membro 0078
Ah sim. Então faz sentido poder ser alguma coisa lá no servidor ou no computador da pessoal que abriu o email. Seria uma fraude bem plausível alguém querer infectar computadores para alterar boletos e desviar o pagamento de boletos para a conta do bandido.
06/08/2020 10:53 · Membro 0044
Sim. Tem o Bolware, mas pelo que entendi e faz isso na máquina do usuário, não sei como conseguiria a alteração de um anexo de webmail a partir da máquina do usuário.
06/08/2020 10:55 · Membro 0078
Mas na verdade a pessoa baixa o anexo para a máquina dela né? Ou ficou alterado lá no servidor mesmo?
06/08/2020 10:55 · Membro 0078
Tipo se ele abrir de novo já vai vir alterado
06/08/2020 10:56 · Membro 0044
O que complicada é que o emissor é um banco em outro e Estado e também não tenho acesso as informações do servidor webmail que também fica em outro estado
06/08/2020 10:56 · Membro 0044
O anexo já tá alterado
06/08/2020 10:58 · Membro 0078
Alterar lá no servidor acho difícil. Só se o malware tiver infectado o próprio servidor. Ou então esse malware tava era no computador do remetente. Que alterou o boleto antes de enviar
06/08/2020 11:06 · Membro 0044
Essas informações são do cabeçalho.

Origem 015 — 21/10/2020 19:15 a 20:12 — Extração e limitações em Motorola XT1022

21/10/2020 19:15 · Membro 0071
Pessoal, apenas esclarecendo que o teste para saber se o aparelho é vulnerável à CVE-2016-10277 (initroot) consiste em:
1) iniciar o aparelho em fastboot
2) enviar o comando
fastboot oem config fsg-id "a androidboot.foo=bar"
3) Observar a tag utag, *confirmando que é possivel passar parâmetros para a inicialização do kernel do linux*. Segue um exemplo na imagem retirada do site do alepth.
21/10/2020 19:17 · Membro 0071
<Mídia oculta>
Essa mensagem confirma a possibilidade de alterar a configuração do kernel do linux, notadamente, pela indicação de uma posição na memoria ram para a busca da *RAMFS*.
21/10/2020 19:18 · Membro 0071
Segue uma lista de aparelhos. Em alguns deles, há versões com e sem a vulnerabilidade.
xt1022, xt1021, xt1025, xt1032, xt1033 (8 e 16), xt1040, xt1068, xt1069 (8 e 16), xt1078, xt1097, xt1506, xt1514, xt1544, xt1556, XT1603, xt1672.
21/10/2020 20:12 · Membro 0042
<Mídia oculta>
download.pdf

Origem 016 — 26/10/2020 08:11 a 09:12 — Root e extração em dispositivo Positivo

26/10/2020 08:11 · Membro 0073
Bom dia. Colegas, sabem informar se o android armazena alguma informação de IPs utilizados pelo dispositivo?
26/10/2020 09:05 · Membro 0042
https://digital-forensics.sans.org/media/DFIR_FOR585_Digital_Poster.pdf
26/10/2020 09:12 · Membro 0048
Talvez tenha algo em /data/com.android.connectivity.metrics/databases/events.db

Origem 017 — 19/11/2020 19:35 a 19:41 — Malware, exploits e vulnerabilidades em dispositivos

19/11/2020 19:35 · Membro 0013
Boa noite. Pessoal, quais são os aplicativos espião que os infratores mais utilizam para ficar monitorando os aparelhos?
19/11/2020 19:41 · Membro 0048
https://xnspy.com/pt/top-10-android-spy-apps.html

Origem 018 — 19/02/2021 16:05 a 16:05 — Obrigado , vamos tentar por aqui

19/02/2021 16:05 · Membro 0079
Obrigado [NOME], vamos tentar por aqui, mas é android.

Origem 019 — 20/03/2021 07:52 a 07:52 — Extração e compatibilidade em Samsung SMARTPHONE

20/03/2021 07:52 · Membro 0012
Bom dia!
Já fiz a física de um smartphone positivo usando "Android Genérico" ou "Android chinês genérico" no UFED.

Origem 020 — 25/03/2021 11:31 a 11:37 — Conexão USB, ADB e diagnóstico de porta em Android

25/03/2021 11:31 · Membro 0048
Tem a opção de Advanced ADB para esse modelo no UFED?
25/03/2021 11:32 · Membro 0048
pra versão do android dele?
25/03/2021 11:33 · Membro 0048
Se for tudo certo, logo, existe a possibilidade dele ser vulnerável a um softroot. Isso é, vc instalaria um programa via SDCARD para root, e realizaria o serviço todo por terminal no próprio aparelho
25/03/2021 11:34 · Membro 0096
Ele é Android 8.0... Mas o patch é junho de 2020... Normalmente o UFED diz que faz até NOV-2016. O q vc acha?
25/03/2021 11:34 · Membro 0048
aí vc pode testar essa vulnerabilidade aqui:
https://github.com/j0nk0/GetRoot-Android-DirtyCow
25/03/2021 11:36 · Membro 0048
Esse CVE é de 2016, talvez por isso o UFED já limite para o patch de NOV-2016
25/03/2021 11:37 · Membro 0048
Acho que existe grande chance de não funcionar. Esse patch de 06/2020 é muito recente. Teria que procurar um CVE mais atual para tentar o root

Origem 021 — 19/04/2021 15:34 a 15:34 — Extração e análise de mensagens do WhatsApp

19/04/2021 15:34 · Membro 0088
https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/

Few vulnerabilities in WhatsApp for Andriod discovered that allow an attacker to send an HTML file attachment full access to the user's media, voice notes, pictures, and eventually chat messages (through TLS session resumption keys).

Origem 022 — 02/06/2021 19:11 a 19:11 — Extração e análise de dados em iPhone/iOS

02/06/2021 19:11 · Membro 0071
☝️CVE-2021-1782: race condition + use after free nos _Mach Vouchers do XNU_. Vulnerabilidade amplamente utilizada pelo *unc0ver* no jailbreak dos aparelhos com IOs que não estão sujeitos ao checkm8. Será que a Cellebrite teria interesse em incorporar? POC tá no github já faz 4 meses...

Origem 023 — 14/10/2021 18:50 a 18:55 — Malware, exploits e vulnerabilidades em dispositivos

14/10/2021 18:50 · Membro 0126
<Mídia oculta>
Boa tarde, alguém sabe dizer se essa pasta onde o vídeo está salvo é aquela lixeira da galeria nos celulares Android?
14/10/2021 18:54 · Membro 0048
https://athenaforensics.co.uk/com-sec-android-gallery3d-mobile-phone-forensics/
14/10/2021 18:55 · Membro 0048
"In addition to this, when the original version of the image is deleted, the copy of it within the com.sec.android.gallery3d is not removed."

Origem 024 — 10/12/2021 09:48 a 11:55 — Extração e decodificação de bancos do WhatsApp

10/12/2021 09:48 · Membro 0021
Depois envio o link como é realizado o desbloqueio, caso precise agora ou no futuro.
10/12/2021 09:48 · Membro 0030
maravilha!!! Fico no aguardo. 😁🙌🏼
10/12/2021 09:52 · Membro 0021
Realizando a cópia física do Macbook Air usando [NOME] para USB.
10/12/2021 09:53 · Membro 0021
Foi retirada a criptografia da memória ssd.
10/12/2021 09:55 · Membro 0030
Neste caso, tinhas a senha [SEGREDO], você acessou o SO removeu a cripto?
10/12/2021 09:56 · Membro 0076
Bom dia, pessoal.

Queria entender uma tentativa de golpe que meus cunhados sofreram. O meu cunhado recebeu uma mensagem de whatsapp da irmã dele. Tinha a foto dela, mas o número era diferente. A minha dúvida é: como a pessoa conseguiu os contatos dela sendo que o número é diferente. Se fosse a clonagem de número, eu entenderia porque teria vindo a agenda. Alguém tem alguma ideia?
10/12/2021 10:46 · Membro 0048
Trojans tb. Vira e mexe descobrem trojans mutantes na própria appstore. Recentemente pegaram vários pdf readers e leitores de qrcode com captadores de tokens bancários (surpreendentemente na lista de app não vi bancos brasileiros).
10/12/2021 10:48 · Membro 0048
https://www.bleepingcomputer.com/news/security/android-banking-malware-infects-300-000-google-play-users/
10/12/2021 10:51 · Membro 0030
Obrigada a todos pela ajuda. 🙌🏼
10/12/2021 11:30 · Membro 0021
https://support.apple.com/pt-br/guide/mac-help/mchlp2560/mac
10/12/2021 11:37 · Membro 0021
Desativar a criptografia do Mac.
10/12/2021 11:55 · Membro 0030
STK-20211210-WA0004.webp (arquivo anexado)

Origem 025 — 24/07/2022 11:07 a 13:12 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

24/07/2022 11:07 · Membro 0014
Nesse caso, com essa metodologia, ele só consegue em versão específica do Android?
24/07/2022 11:08 · Membro 0109
Em qualquer versão de Android, desde que o CVE-2016-10277 nunca tenha sido corrigido. No caso do moto G1 e G2, nunca foram.
24/07/2022 11:09 · Membro 0105
A diferença é a configuração do exploit. Isso pode mudar conforme versão da build e versão do Android.
24/07/2022 11:10 · Membro 0105
Esse vc faz o pacote do exploit na mão. Não é algo pronto como disponibilizado pelas ferramentas. [MENCAO] é o gênio em configuração dos pacotes para cada equip.
24/07/2022 11:15 · Membro 0014
Os peritos do PR são diferenciado. Estão sempre compartilhando informação. Parabéns!
24/07/2022 11:20 · Membro 0041
Bom dia! Qual é a demanda reprimida de exames de celulares na seção/departamento de vocês? Aqui estamos com 1.300.
24/07/2022 11:46 · Membro 0076
Montes Claros - Norte de Minas: 1000
24/07/2022 11:48 · Membro 0041
Eita! Apenas uma cidade do interior de Minas.
24/07/2022 11:49 · Membro 0020
Esse rola edl também, mas precisa cortar a carcaça traseira pra alcançar os pontos
24/07/2022 11:51 · Membro 0020
Ceará 6.300 requisições de perícia pendentes. Facilmente deve chegar a 20000 itens pendentes de perícia
24/07/2022 11:55 · Membro 0020
Isso inclui celulares e computadores também
24/07/2022 12:03 · Membro 0096
Tem aí os test points?
24/07/2022 12:03 · Membro 0096
Estou procurando aqui tbm
24/07/2022 12:10 · Membro 0048
Colega aqui da PCDF fez o "kit" do initroot do xt1033
https://github.com/leosol/initroot
24/07/2022 13:05 · Membro 0009
<Mídia oculta>
initroot-modified.cpio.gz
24/07/2022 13:05 · Membro 0009
Motorola XT1033

1 - COLOQUE O CELULAR NO MODO FASTBOOT (POWER + VOL-)

2- fastboot flash aleph initroot-modified.cpio.gz (o arquivo deve estar no diretório)

3- fastboot oem config fsg-id "a initrd=0x11800000,872857"

4- fastboot continue
Se o celular entrar em loop, volte para o passo 1 e digite:
fastboot oem config fsg-id ""

5- adb shell (Para verificar o acesso root. Se não funcionar, volte para o passo 1)

6- exit

7- adb pull /dev/block/mmcblk0 -a imagem-xt1033.bin
24/07/2022 13:07 · Membro 0109
Tem que ver a versão do firmware, e usar o pacote para a versão certa, caso contrário provavelmente não vai funcionar. Só para o Xt1033 tenho uns 5 diferentes que tive que montar.
24/07/2022 13:09 · Membro 0009
Isso, [MENCAO] ! Nos meus esse tem dado certo. Acho q foi vc q me passou, inclusive. 👍🏻👏🏻
24/07/2022 13:10 · Membro 0009
Ou foi o [MENCAO] . Não lembro ao certo. 🤣🤣
24/07/2022 13:12 · Membro 0009
Galera do Paraná sempre nos ajudando. Obg 👊🏻

Origem 026 — 26/07/2022 09:01 a 09:01 — Malware, exploits e vulnerabilidades em dispositivos

26/07/2022 09:01 · Membro 0015
https://pplware.sapo.pt/smartphones-tablets/android/voltou-a-praga-do-malware-ao-android-agora-sao-50-apps-com-o-conhecido-joker/

Origem 027 — 14/11/2022 10:05 a 10:59 — Proprietário de telefone Android dribla segurança e desbloqueia celular "sem querer" - Olhar

14/11/2022 10:05 · Membro 0041
Proprietário de telefone Android dribla segurança e desbloqueia celular "sem querer" - Olhar Digital - https://olhardigital.com.br/2022/11/13/seguranca/proprietario-do-telefone-android-dribla-seguranca-e-desbloqueia-celular-sem-querer/
14/11/2022 10:08 · Membro 0003
Tá um pouco imprecisa essa reportagem
14/11/2022 10:08 · Membro 0003
https://www.androidpolice.com/one-minute-hack-allowed-lock-screen-bypass-on-android-current-pixels-are-safe/
14/11/2022 10:11 · Membro 0003
Testamos em oneplus 8t e 9r, mas não deu certo. Não tínhamos pixel para testar
14/11/2022 10:18 · Membro 0048
Pixel + desatualizado + parar na perícia = pouco provável
14/11/2022 10:23 · Membro 0003
No Ceará temos celulares de 2013 ainda para fazer, então a probabilidade de pegar alguns vulneráveis é até grande 😅
14/11/2022 10:55 · Membro 0009
Aqui em Alagoas ainda temos alguns casos de 2018 😅
14/11/2022 10:59 · Membro 0003
Isso porque em 2013, quando entramos, fizemos uma limpa no estoque de informática, devolvendo dizendo que não tínhamos ferramentas para fazer a perícia.

Origem 028 — 03/12/2022 10:55 a 11:27 — Malware, exploits e vulnerabilidades em dispositivos

03/12/2022 10:55 · Membro 0071
Bom dia pessoal, apenas uma curiosidade...
alguém aqui já participou em perícia de algum caso de ataque cibernético? Ataque de Ransomware, _defacement_, etc?
03/12/2022 11:02 · Membro 0002
bom dia. Aqui no CE já fizemos um sobre um defacement em servidores de um órgão do Estado
03/12/2022 11:04 · Membro 0002
a vulnerabilidade foi a GhostCat.. os invasores picharam algumas páginas e tentaram subtrair alguns dados
03/12/2022 11:05 · Membro 0002
o material atacado já foi analisado. atualmente estamos com material de supostos autores
03/12/2022 11:23 · Membro 0071
bacana! Aqui no DF deve estar numa média de 1 a cada 2 meses (palpite)
talvez o [MENCAO] saiba melhor...
acho que vale a pena começar a pensar a tratar desse assunto aqui no grupo
03/12/2022 11:23 · Membro 0071
(naturalmente, sem entrar em detalhes que compromentam a investigação)
03/12/2022 11:24 · Membro 0071
mais no sentido de evoluir no tratamento desse tipo de incidente....
muitas vezes, a vulnerabilidade acaba sendo a mesma que de outro estado
03/12/2022 11:27 · Membro 0002
Concordo. Seria bem interessante

Origem 029 — 06/02/2023 19:58 a 20:04 — ALERTA DE ATAQUE EM GRANDE ESCALA / No dia 03 de fevereiro, foi

06/02/2023 19:58 · Membro 0020
*ALERTA DE ATAQUE EM GRANDE ESCALA*
No dia 03 de fevereiro, foi publicado no site da Bleeping Computer pela equipe
francesa de resposta a incidentes (CERT-FR) um aviso sobre um ataque maciço do
Ransomware ESXiArgs. O foco deste ransomware era para com os servidores VMware
ESXi sem correção contra uma vulnerabilidade de execução remota de código, já
publicada há mais de 2 anos.
As vulnerabilidades foram rastreadas como CVE-2021-21974 e CVE-2020-3992,
que ocasionam uma falha de segurança causada por um problema de estouro de heap
no serviço OpenSLP. Na porta 427 em uma máquina ESXi poderá ser adicionado um
“use-after-free” no serviço OpenSLP, ocasionando a execução remota do código.

https://twitter.com/heimdallish/status/1622701195847426049
06/02/2023 19:59 · Membro 0020
Interessante monitorar a frequência de ocorrência de casos relacionados
06/02/2023 20:04 · Membro 0071
Mano, VMware gosta reinventar o mesmo bug?

Origem 030 — 26/06/2023 07:57 a 08:26 — Extração e análise de dados em iPhone/iOS

26/06/2023 07:57 · Membro 0015
bom dia, algum colega tem procedimento para casos de bolware? Tenho a máquina suspeita mas não foi ligada, apenas gerada a imagem do HD.
26/06/2023 07:59 · Membro 0048
acho que o procedimento é o mesmo para malwares
26/06/2023 08:02 · Membro 0015
passar no modulo anti-malware do PA ?
26/06/2023 08:08 · Membro 0048
É maquininha de pagamento?
26/06/2023 08:13 · Membro 0015
suspeito de adulteracao de boleto
26/06/2023 08:17 · Membro 0048
Vc pode usar de duas abordagem, inclusive as duas para o mesmo exame:
26/06/2023 08:17 · Membro 0048
a análise estática e a dinâmica
26/06/2023 08:17 · Membro 0048
na estática, vc pode montar essa imagem read-only e de pronto rodar um antivirus atualizado.
26/06/2023 08:18 · Membro 0048
Se der match em algum malware de POT etc..., ótimo, vc já tem o alvo de exame, ver o comportamento do malware, o vetor de infecção ios rastros que ele deixou de excução etc...
26/06/2023 08:19 · Membro 0048
Se vc não achar nada, aí vc vai ter que examinar mais a fundo nos programas, principalmente programas de controle remoto (RDP, TeamViewer, Anydesk, etc...), e ver a integridade do browser, se está ok. Ver os vestígios de e-mails, mensagens etc... para ver se o usuário clicou em algum instalador...ver os logs de instalação. etc...
26/06/2023 08:20 · Membro 0048
Tem programa que altera o browser, como os da família do Zeus.
26/06/2023 08:21 · Membro 0048
Se não achar nada de anormal na estática, eu partiria para dinâmica. Nessa vc vai rodar essa imagem em uma VM (p.ex. Virtual box) e analisar tráfego de rede, e execução de processos procurando algo de anormal
26/06/2023 08:22 · Membro 0015
essa abordagem que pensei em fazer
26/06/2023 08:23 · Membro 0048
para tentar achar se tem alguma comunicaçao estranha com uma central de comando, ou se tem processos estranhos em execução, keyloggers,.
Tb é bom ver a integridade do próprio sistema operacional
26/06/2023 08:25 · Membro 0048
Os malwares bancários mais sofisticados alteram o renderizador html do browser e têm keyloggers instalados. cara pode até digitar o boleto certo, mas ele vai e troca o numero dele, o valor e renderiza os dados do original na tela com se tivesse sido pago corretamente
26/06/2023 08:25 · Membro 0147
Porra excelente explicação 👏🏼👏🏼👏🏼👏🏼
26/06/2023 08:26 · Membro 0048
e se vc tirar um extrato ele até tira o valor pago do extrato.

Origem 031 — 14/11/2023 12:12 a 12:46 — Malware, exploits e vulnerabilidades em dispositivos

14/11/2023 12:12 · Membro 0176
Boa tarde. Alguém aqui já conseguiu extrair um Android com o software de financiamento da Nuovopay (https://nuovopay.com) instalado? Ele bloqueia o aparelho em caso de não pagamento da mensalidade e inviabilisa até o safeboot.
14/11/2023 12:46 · Membro 0048
peguei um uma vez e não consegui, mas na época não tinha premium

Origem 032 — 12/12/2023 14:15 a 14:51 — O aplicativo com.google.Android.apps.speechservices tem um arquivo de áudio interessante

12/12/2023 14:15 · Membro 0088
Boa tarde. O aplicativo com.google.android.apps.speechservices tem um arquivo de áudio interessante pro caso aqui, de nome "VoiceSearchOriginalAudioRecording1.amr"
12/12/2023 14:16 · Membro 0088
Vocês saberiam dizer em que situação esse app grava o aúdio? Seria o app do "ok google" ou outro sistema?
12/12/2023 14:17 · Membro 0088
Em quais situações tal app grava o áudio?
12/12/2023 14:51 · Membro 0048
Pelo que pesquisei, é um serviço que várias outras apps podem usar para tts (text2speech), ou o contrário speech2text, tipo: google maps, google tradutor, aplicativo do telefone de discagem, acesso por voz etc...
Ele em tese não grava voz livremente o tempo todo,só quando voluntariamente solicitado <Mensagem editada>

Origem 033 — 02/02/2024 11:44 a 13:17 — Extração e limitações em dispositivos Motorola

02/02/2024 11:44 · Membro 0048
vendo o código em (https://cs.android.com/android/platform/superproject/main/+/main:frameworks/base/services/core/java/com/android/server/power/stats/BatteryStatsImpl.java;l=1?q=BatteryStatsImpl.java&ss=android%2Fplatform%2Fsuperproject%2Fmain) aparentemente a classe faz estatísticas diárias de bateria algumas aplicações usam. Aí se vc ver, ele usa a função upTimeMillis() do relógio de sistema para pegar a base de tempo para calcular os "deltas". Essa método retorna o tempo (em milissegundos) desde que o dispositivo foi iniciado. No entanto, este método inclui o tempo em que o dispositivo esteve em modo de suspensão.
02/02/2024 11:48 · Membro 0048
imagino que talvez, ele ficou nesse relogio contando. Quando aparelho foi ligado, ele incrementou o delta e por isso talvez tenha marcado para algo depois da apreensão
02/02/2024 11:48 · Membro 0048
aí como ele grava periódicamnete. Qual a data de modificação desse arquivo?
02/02/2024 11:49 · Membro 0058
tô vendo, na linha 11180, né?
02/02/2024 11:49 · Membro 0058
com.android.internal.logging.EventLogTags.writeCommitSysConfigFile(
"batterystats-daily",
initialTimeMs + SystemClock.uptimeMillis() - startTimeMs2);
02/02/2024 11:51 · Membro 0058
Do batterystats-daily é 05/01/2023 08:55
02/02/2024 11:52 · Membro 0048
passando o olho rápido aqui para entender melhor...mas tem esse lance dele ficar trabalhando com deltas
02/02/2024 11:54 · Membro 0048
vai que pode ser isso o motivo dele atualizar esse contadores estranhamente já que ele considera o aparelho em suspensão e vai que o aparelho não ficou "desligado" sem bateria
02/02/2024 12:05 · Membro 0058
Tá complicado, ao mesmo tempo tá bem incerto para o colega conseguir cravar algo em laudo <Mensagem editada>
02/02/2024 12:07 · Membro 0058
sobre a questão das tentativas de desbloqueio de tela, as que efetivamente superaram e as que falharam, seria esse arquivo também ou há outro?
02/02/2024 13:17 · Membro 0020
Analisei um Motorola G9 Android 11 Hoje.... Na seção timeline era bem rico, inclusive os registros de desbloqueio

Origem 034 — 23/08/2024 21:06 a 21:13 — Root e extração em SMATPHONES

23/08/2024 21:06 · Membro 0037
https://www.linkedin.com/posts/lukasstefanko_blackhat2024-activity-7227232627567570944-BqZ7?utm_source=share&utm_medium=member_desktop
23/08/2024 21:08 · Membro 0037
Nova vulnerabilidade descoberta pelo _Red Team_ da Google (CVE-2024-23380), divulgada no perfil do Lukas Stefanko no LinkedIn, explora vulnerabilidade em GPU de smatphones Android, permitindo escalar privilégio e acessar o _root shell_ .
23/08/2024 21:12 · Membro 0037
https://docs.qualcomm.com/product/publicresources/securitybulletin/july-2024-bulletin.html
23/08/2024 21:13 · Membro 0037
Chipsets afetados.

Origem 035 — 28/08/2024 15:04 a 15:04 — Malware, exploits e vulnerabilidades em dispositivos

28/08/2024 15:04 · Membro 0050
Boa tarde pessoal.
Aqui no DF fizemos um trabalho com malwares bancários pra Android.
Estão chegando alguns pedidos de perícia em celulares submetidos a wipe depois de terem sido infectados por RATs.
Os criminosos usam engenharia social pra fazer a vítima instalar uma variante do CraxsRat.
No artigo abaixo, explicamos a metodologia utilizada nesses casos, pra chegar no C&C.
Dependendo de onde está hospedado, a máquina do C&C pode ser alvo de análise tb, depois de pedido de preservação. Em muitos casos, há vestígios interessantes de autoria.
Fica ai nossa contribuição.
Caso algum estado esteja recebendo esse tipo de pedido, gostaria de saber como estão atuando.
28/08/2024 15:04 · Membro 0050
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0

Origem 036 — 09/04/2025 09:31 a 10:09 — Extração e análise de dados em iPhone/iOS

09/04/2025 09:31 · Membro 0166
na pasta DCIM, tem uma subpasta "screenshots"
09/04/2025 09:42 · Membro 0088
É isso mesmo? Não tá fazendo AFU ainda iOS 18.3.1?
09/04/2025 09:53 · Membro 0048
Em 10fev25 a Apple corrigiu uma vulnerabilidade (CVE-2025-24200) que a Cellebrite e a Magnet usavam para extração.
Desde então, >= 18.3.1 não se tem vulnerabilidade 0day conhecida por essas empresas.
Eu achava que eles tinham pelo menos uma 0day "na manga" em caso disso acontecer, mas parece que não tinham.
09/04/2025 09:58 · Membro 0088
😕 mais um celular quente que vai reiniciar em 72h e não temos o que fazer...
09/04/2025 10:05 · Membro 0088
Graykey tá fazendo AFU de 18.3.1?
09/04/2025 10:09 · Membro 0048
Não, até uns dias atrás. Não sei hoje <Mensagem editada>

Origem 037 — 11/04/2025 05:23 a 05:23 — Extração e análise de dados em iPhone/iOS

11/04/2025 05:23 · Membro 0048
Prepara que provavelmente quem não vai mais desbloquear fácil além dos ios são os androids novos, caso não tenham 0day guardados na manga:
https://www.malwarebytes.com/blog/news/2025/04/google-fixes-two-actively-exploited-zero-day-vulnerabilities-in-android

Origem 038 — 17/04/2025 20:08 a 21:53 — For security, Android phones will now auto-reboot after three days / / Source

17/04/2025 20:08 · Membro 0088
Sim, também aqui e não foi. Esse aí já devia estar com o acessórios USB ativo, algo assim, n?
17/04/2025 20:10 · Membro 0088
A Apple corrigiu a vulnerabilidade
17/04/2025 20:11 · Membro 0147
Cara não tem como saber
17/04/2025 21:53 · Membro 0003
For security, Android phones will now auto-reboot after three days

Source: TechCrunch
https://search.app/VFxPd

Shared via the Google App

Origem 039 — 11/06/2025 19:31 a 20:16 — Malware, exploits e vulnerabilidades em dispositivos

11/06/2025 19:31 · Membro 0105
Alguém mais atualizou o premium para a versão beta 7.74 e observou que nenhum android está exploitando?

Só para saber se é geral ou apenas algo de ruim aqui
11/06/2025 19:31 · Membro 0146
Eita. Ainda bem que não…
11/06/2025 19:33 · Membro 0146
Vou esperar a versão final que disseram que vai incluir o exploit para o bloqueio de usb
11/06/2025 20:16 · Membro 0013
Aqui atualizamos e deixamos 2 premium com as 2 últimas versões. É raro, mas acontece com frequência uma versão mais antiga extrair e a vigente não. Rs

Origem 040 — 24/09/2025 16:28 a 16:31 — Malware, exploits e vulnerabilidades em dispositivos

24/09/2025 16:28 · Membro 0166
tu tá com celular ? dá pra pegar numa pasta do Android a versao que está instalada no celular
24/09/2025 16:30 · Membro 0088
Consegui agora no Inseyets 10.4 <Mensagem editada>
24/09/2025 16:31 · Membro 0088
<Mídia oculta>
O resource não tá aparecendo mas é o 7.72 pelo download

Origem 041 — 21/10/2025 14:26 a 14:35 — Extração e bloqueios em RMX3930

21/10/2025 14:26 · Membro 0080
Boa tarde
Alguém já fez realme RMX3930?
Já fiz todas as combinações de teclas e não dá continuidade.
21/10/2025 14:27 · Membro 0080
É um unisoc T612
21/10/2025 14:28 · Membro 0105
Segundo o PC3k, seria Vol down apenas.

Com o celular desligado. Se possível remover a bateria.
21/10/2025 14:30 · Membro 0080
Fiz com ele desligado. Apertei vol- e power e ele liga
21/10/2025 14:30 · Membro 0080
Acho que é a nova versão do Android
21/10/2025 14:31 · Membro 0080
Semana passada estava com dois RMX3438. Um fez, o outro não. Verão de android
21/10/2025 14:31 · Membro 0048
Não lembro direito, mas lembro que era meio macetoso. Tipo só aperta o power segundos depois
21/10/2025 14:31 · Membro 0105
Mas apenas vol down? <Mensagem editada>
21/10/2025 14:31 · Membro 0080
Vou tentar assim [NOME]
21/10/2025 14:32 · Membro 0080
Agora estou com outro na máquina
21/10/2025 14:32 · Membro 0048
Vou ver se acho anotado aqui em algum lugar
21/10/2025 14:33 · Membro 0080
[NOME], as versões de Android, até 14, vão bem. Daí em diante que enrosca
21/10/2025 14:35 · Membro 0080
Estou com Xiaomi na versão 15 que também não vai e a cellebrite não resolve.

Origem 042 — 19/12/2025 01:09 a 01:09 — / logs do Android.HTML

19/12/2025 01:09 · Membro 0021
<Mídia oculta>
logs do Android.HTML

Origem 043 — 26/02/2026 18:52 a 18:56 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

26/02/2026 18:52 · Membro 0105
Esse chipset você confirmou onde?
Temos 2 registros desse e eram QC.

No site do tudoCelular tbm indica QC <Mensagem editada>
26/02/2026 18:53 · Membro 0105
O android dele é bem antigo(2.3), não vai dae boa no premium.

Premium desenrola melhor no android 6 ou superior. Mais antigo é mega raro. <Mensagem editada>
26/02/2026 18:54 · Membro 0105
No nosso caso, fizemos fisica nesse s5830c, mas foi jtag 🥲
26/02/2026 18:56 · Membro 0001
O celular reiniciou e acabou dando certo. 🤡😅 obrigado, Hempk!