O WikiLeaks publicou hoje, 13/07/2017, o 16º lote do seu vazamento Vault 7 em curso. Desta vez, ao invés de revelar um novo malware ou ferramenta de hacking, a organização denunciante revelou como os agentes da CIA continuam a colecionar e encaminhar dados roubados de smartphones comprometidos.
Anteriormente, foram divulgadas várias ferramentas de hacking da CIA, malwares e implantes usados pela agência para se infiltrar remotamente e roubar dados de sistemas ou smartphones.
No entanto, desta vez, nem o Wikileaks nem o manual vazado da CIA explicam claramente como a agência estava usando essa ferramenta.
Como funciona o projeto Highrise da CIA
Em geral, o malware usa a conexão à Internet para enviar dados roubados para o servidor controlado pelo invasor (mensagens de escuta). Mas, no caso de smartphones, o malware possui uma maneira alternativa de enviar dados roubados para os invasores via SMS.
Mas, para colecionar dados roubados via SMS, é preciso lidar com um problema importante: classificar e analisar mensagens em massa recebidas de vários dispositivos direcionados.
Para resolver este problema, a CIA criou um aplicativo Android simples, denominado Highrise, que funciona como um proxy SMS entre os dispositivos comprometidos e o servidor de mensagens.
“Existem várias ferramentas do COI que usam mensagens SMS para comunicação e o HighRise é um proxy SMS que proporciona maior separação entre dispositivos no campo (” alvos “) e a mensagem de escuta ” proxying “.”, diz o manual vazado da CIA.
O que eu entendi depois de ler o manual é que os agentes da CIA precisam instalar um aplicativo chamado “TideCheck” em seus dispositivos Android, para receber todos os dados roubados através de SMS a partir dos dispositivos comprometidos.
A última versão conhecida do aplicativo TideCheck, ou seja, HighRise v2.0, foi desenvolvida em 2013 e funciona em dispositivos móveis com Android 4.0 a 4.3, embora eu acredite que eles já desenvolveram versões atualizadas que funcionam para Androids mais recentes.
Uma vez inicializado e configurado corretamente, o aplicativo é executado continuamente em segundo plano para monitorar mensagens recebidas de dispositivos comprometidos. E quando recebido, encaminha todas as mensagens para o servidor de mensagens da CIA através de um canal de comunicação seguro por TLS / SSL.
