SMS-RAT: A Ameaça Oculta em seus Dispositivos Android e Como Ela Opera
Descubra como os SMS-RATs, uma versão simplificada de Trojans de Acesso Remoto, estão se espalhando e quais técnicas de ofuscação os tornam difíceis de detectar. Entenda a arquitetura, os métodos de distribuição e as estratégias de análise para se proteger.
MundiX News·02 de maio de 2026·15 min de leitura·👁 6 views
SMS-RAT: A Ameaça Oculta em seus Dispositivos Android e Como Ela Opera
O cenário de ameaças para dispositivos Android está em constante evolução. Enquanto no passado o foco dos cibercriminosos era o desenvolvimento de malware com funcionalidades complexas e controle total sobre o dispositivo, a tendência atual aponta para versões mais leves e simplificadas. Essas variantes, como o SMS-RAT, são mais fáceis de distribuir e, crucialmente, mais difíceis de serem detectadas por soluções de segurança. Na Rússia, classes de malware como NFCGate e Mamont ganharam destaque, sendo o NFCGate uma implementação de ataque Relay Attack que utiliza o dispositivo da vítima como um repetidor de sinal NFC. Por outro lado, o Mamont representa uma família de Remote Access Trojans (RATs) clássicos, focados em obter controle sobre o dispositivo comprometido. Dentro dessa família, destacam-se duas vertentes principais: os RATs completos, que oferecem controle total sobre tela, câmera, microfone e sistema de arquivos, e os SMS-RATs, versões simplificadas que se concentram na coleta de telemetria, como SMS, chamadas e informações básicas do dispositivo.
O SMS-RAT, em particular, tem se tornado uma ameaça significativa devido à sua distribuição em massa através de campanhas de spam e phishing. A quantidade mínima de permissões exigidas para sua instalação simplifica o processo para o usuário final, que muitas vezes é enganado a instalar o aplicativo sob falsos pretextos. As permissões básicas incluem acesso a SMS (receber, ler, enviar), informações do telefone (estado, números), inicialização após boot, notificações, acesso à internet e serviços em segundo plano. Algumas variantes podem solicitar permissões adicionais, como acesso ao histórico de chamadas ou à lista de aplicativos instalados. A arquitetura do SMS-RAT geralmente gira em torno de módulos de coleta de informações e controle do dispositivo. Um módulo chave é o de coleta de informações sobre aplicativos instalados, que permite aos atacantes identificar potenciais alvos valiosos, como aplicativos bancários ou carteiras de criptomoedas. O controle de SMS é outro ponto crítico, permitindo o roubo de códigos de autenticação de dois fatores (OTP) e a assinatura de serviços pagos. Em algumas implementações, o SMS-RAT também pode executar comandos USSD, abrindo portas para verificações de saldo ou ativação de serviços sem o consentimento do usuário.
A forma como o SMS-RAT chega aos dispositivos das vítimas é variada e muitas vezes sutil. É comum encontrá-lo disfarçado em chats de grupo, comentários de posts em redes sociais ou até mesmo em propagandas direcionadas que levam a páginas de phishing que imitam sites oficiais. Uma vez instalado, o SMS-RAT opera de forma discreta, muitas vezes utilizando um componente WebView para exibir conteúdo que se alinha com o pretexto usado para a instalação, como notícias ou um processo de download contínuo. Essa técnica de 'contextual matching' visa legitimar a presença do aplicativo no dispositivo. Após a instalação, o malware se comunica com um servidor de comando e controle (C2) ou um bot do Telegram, enviando um pacote inicial de telemetria que inclui informações sobre aplicativos, SMS, chamadas e até mesmo o conteúdo da área de transferência. A partir daí, o dispositivo entra em um estado de monitoramento constante, onde o atacante pode não apenas coletar dados passivamente, mas também enviar SMS em nome da vítima ou executar comandos USSD. A proliferação de diferentes implementações de SMS-RAT no mercado negro é impulsionada por um modelo de negócios complexo, com papéis bem definidos como 'Crypter' (responsável pela ofuscação), 'Coder' (desenvolvimento do RAT e painel de controle), 'Team' (gerenciamento de grupos de distribuidores) e 'Worker' (o distribuidor final do APK). Essa divisão de trabalho e a monetização por assinatura ou porcentagem dos lucros incentivam a criação contínua de novas variantes, muitas vezes diferenciadas apenas por seus métodos de ofuscação e entrega de dados.
O desafio na análise de SMS-RATs se intensifica com as técnicas de ofuscação empregadas. A análise estática de um APK geralmente começa com a descompilação, mas os atacantes utilizam métodos para dificultar esse processo. Um exemplo é o 'ZIP poisoning', onde cabeçalhos ZIP são intencionalmente modificados para confundir ferramentas de análise padrão, embora o Android possa continuar a processar o APK corretamente. Isso pode levar a erros na extração de arquivos ou na descompilação. Em casos mais complexos, além da modificação de flags de criptografia, são usadas estruturas de arquivo não padronizadas e entradas duplicadas, criando 'parser differentials' que resultam em perda de dados ou extração corrompida. Para contornar essas dificuldades, abordagens como a extração direcionada de artefatos chave (AndroidManifest.xml, classes.dex) e o uso de ferramentas como binwalk ou aapt2 são recomendadas. A carga útil (payload) do malware, como os DEX dinamicamente carregados, também pode ser ofuscada, exigindo técnicas de análise dinâmica e engenharia reversa para desvendar sua funcionalidade completa e os endereços dos servidores de comando e controle.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
SMS-RAT: A Ameaça Oculta em seus Dispositivos Android e Como Ela Opera
O cenário de ameaças para dispositivos Android está em constante evolução. Enquanto no passado o foco dos cibercriminosos era o desenvolvimento de malware com funcionalidades complexas e controle total sobre o dispositivo, a tendência atual aponta para versões mais leves e simplificadas. Essas variantes, como o SMS-RAT, são mais fáceis de distribuir e, crucialmente, mais difíceis de serem detectadas por soluções de segurança. Na Rússia, classes de malware como NFCGate e Mamont ganharam destaque, sendo o NFCGate uma implementação de ataque Relay Attack que utiliza o dispositivo da vítima como um repetidor de sinal NFC. Por outro lado, o Mamont representa uma família de Remote Access Trojans (RATs) clássicos, focados em obter controle sobre o dispositivo comprometido. Dentro dessa família, destacam-se duas vertentes principais: os RATs completos, que oferecem controle total sobre tela, câmera, microfone e sistema de arquivos, e os SMS-RATs, versões simplificadas que se concentram na coleta de telemetria, como SMS, chamadas e informações básicas do dispositivo.
O SMS-RAT, em particular, tem se tornado uma ameaça significativa devido à sua distribuição em massa através de campanhas de spam e phishing. A quantidade mínima de permissões exigidas para sua instalação simplifica o processo para o usuário final, que muitas vezes é enganado a instalar o aplicativo sob falsos pretextos. As permissões básicas incluem acesso a SMS (receber, ler, enviar), informações do telefone (estado, números), inicialização após boot, notificações, acesso à internet e serviços em segundo plano. Algumas variantes podem solicitar permissões adicionais, como acesso ao histórico de chamadas ou à lista de aplicativos instalados. A arquitetura do SMS-RAT geralmente gira em torno de módulos de coleta de informações e controle do dispositivo. Um módulo chave é o de coleta de informações sobre aplicativos instalados, que permite aos atacantes identificar potenciais alvos valiosos, como aplicativos bancários ou carteiras de criptomoedas. O controle de SMS é outro ponto crítico, permitindo o roubo de códigos de autenticação de dois fatores (OTP) e a assinatura de serviços pagos. Em algumas implementações, o SMS-RAT também pode executar comandos USSD, abrindo portas para verificações de saldo ou ativação de serviços sem o consentimento do usuário.
A forma como o SMS-RAT chega aos dispositivos das vítimas é variada e muitas vezes sutil. É comum encontrá-lo disfarçado em chats de grupo, comentários de posts em redes sociais ou até mesmo em propagandas direcionadas que levam a páginas de phishing que imitam sites oficiais. Uma vez instalado, o SMS-RAT opera de forma discreta, muitas vezes utilizando um componente WebView para exibir conteúdo que se alinha com o pretexto usado para a instalação, como notícias ou um processo de download contínuo. Essa técnica de 'contextual matching' visa legitimar a presença do aplicativo no dispositivo. Após a instalação, o malware se comunica com um servidor de comando e controle (C2) ou um bot do Telegram, enviando um pacote inicial de telemetria que inclui informações sobre aplicativos, SMS, chamadas e até mesmo o conteúdo da área de transferência. A partir daí, o dispositivo entra em um estado de monitoramento constante, onde o atacante pode não apenas coletar dados passivamente, mas também enviar SMS em nome da vítima ou executar comandos USSD. A proliferação de diferentes implementações de SMS-RAT no mercado negro é impulsionada por um modelo de negócios complexo, com papéis bem definidos como 'Crypter' (responsável pela ofuscação), 'Coder' (desenvolvimento do RAT e painel de controle), 'Team' (gerenciamento de grupos de distribuidores) e 'Worker' (o distribuidor final do APK). Essa divisão de trabalho e a monetização por assinatura ou porcentagem dos lucros incentivam a criação contínua de novas variantes, muitas vezes diferenciadas apenas por seus métodos de ofuscação e entrega de dados.
O desafio na análise de SMS-RATs se intensifica com as técnicas de ofuscação empregadas. A análise estática de um APK geralmente começa com a descompilação, mas os atacantes utilizam métodos para dificultar esse processo. Um exemplo é o 'ZIP poisoning', onde cabeçalhos ZIP são intencionalmente modificados para confundir ferramentas de análise padrão, embora o Android possa continuar a processar o APK corretamente. Isso pode levar a erros na extração de arquivos ou na descompilação. Em casos mais complexos, além da modificação de flags de criptografia, são usadas estruturas de arquivo não padronizadas e entradas duplicadas, criando 'parser differentials' que resultam em perda de dados ou extração corrompida. Para contornar essas dificuldades, abordagens como a extração direcionada de artefatos chave (AndroidManifest.xml, classes.dex) e o uso de ferramentas como binwalk ou aapt2 são recomendadas. A carga útil (payload) do malware, como os DEX dinamicamente carregados, também pode ser ofuscada, exigindo técnicas de análise dinâmica e engenharia reversa para desvendar sua funcionalidade completa e os endereços dos servidores de comando e controle.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
