Ataque Simjacker permite espionagem em cartões SIM

Cibercriminosos podem espionar celulares hackeando os cartões SIM. Veja como os ataques funcionam, qual a relação com o SIM Toolkit e o que as operadoras podem fazer para bloquear a ameaça.

Recentemente, especialistas do AdaptativeMobile Security descobriram um ataque em celulares que pode ser feito usando um computador normal e um modem USB bem barato. Enquanto alguns métodos antigos exigiam equipamentos especiais e licenças das operadoras de telefonia, esse ataque, chamado Simjacker, se aproveita de uma vulnerabilidade encontrada em cartões SIM.

É tudo por causa do S@T Browser

A maioria dos cartões SIM produzidos desde o início dos anos 2000, incluindo os eSIM, possui uma opção de menu da operadora. Ele oferece opções como conferir saldo, realizar recarga, suporte técnico e, às vezes, adicionais como previsão do tempo, horóscopo e por aí vai. Nos aparelhos antigos, ficava no menu principal. Os telefones com iOS escondem isso nas opções de ajustes (em aplicativos do SIM), enquanto nos Android tudo se concentra em um único app chamado SIM Toolkit.

Esse menu é basicamente um app – ou, mais precisamente, vários aplicativos com o nome SIM Tookit (STK) -, mas esses programas não rodam nos próprios celulares, mas nos cartões. Lembre que seu SIM é de fato um minúsculo computador com sistema operacional próprio e programas. O STK responde a comandos externos, como selecionar ações no menu da operadora, fazendo o celular executar determinadas ações, como enviar mensagens SMS ou comandos USSD.

Um dos aplicativos presentes no STK é conhecido como S@T Browser. Ele é usado para visualizar páginas da internet em certos formatos, além de outras localizadas em redes internas da operadora. Por exemplo: o S@T Browser pode fornecer informações sobre o saldo de sua conta.

O aplicativo S@T Browser não tem sido atualizado desde 2009, e apesar de suas funções serem executadas por outros programas em dispositivos mais modernos, ainda é utilizado – ou, pelo menos, ainda instalado em muitos SIM. Pesquisadores não especificaram em quais regiões ou quais operadoras vendem os SIM com esse app, mas asseguram que mais de 1 bilhão de pessoas em pelo menos 30 países o utilizam.

Os ataques Simjacker

Esse ataque começa com um SMS contendo uma série de instruções para o cartão SIM. Seguindo essas instruções, o SIM solicita ao telefone celular o número de série e o ID da estação base na zona de cobertura na qual o usuário se encontra, e envia uma resposta SMS para o número do cibercriminoso.

As coordenadas das estações são conhecidas (e estão até disponíveis online), então o ID do celular pode ser usado para determinar a localização do assinante que se encontre a menos de 100 metros. Os serviços baseados em localização dependem do mesmo princípio para determinar a localização sem assistência de satélites, como, por exemplo, em ambientes internos ou quando o GPS está desativado.

O usuário não vai perceber nenhum tipo de manipulação em seu cartão SIM. Nem as mensagens SMS chegando com os comandos, nem as respostas com os dados de localização do aparelho são mostradas no app de mensagens, então as vítimas do Simjacker provavelmente não vão saber que estão sendo espionadas.

Quem foi afetado pelo Simjacker?

De acordo com o AdaptiveMobile Security, cibercriminosos têm rastreado a localização das pessoas em diversos países não-especificados. Em um deles, cerca de 100 a 150 números são comprometidos todos os dias. De uma forma geral, essas solicitações são enviadas não mais que uma vez por semana; entretanto, os movimentos de algumas vítimas são monitoradas de maneira muito mais próxima – o time de pesquisadores descobriu que vários usuários receberam algumas centenas de mensagens SMS maliciosas por semana.

Ataques do tipo Simjacker podem ir muito além

Os pesquisadores descobriram que os cibercriminosos não usaram todas as possibilidades que o S@T Browser oferecia no cartão SIM. Por exemplo, mensagens SMS podem ser usadas para realizar chamadas telefônicas para qualquer número, enviar mensagens randômicas para números arbitrários, abrir links no navegador e até mesmo desabilitar o SIM, deixando a vítima sem telefone.

A vulnerabilidade abre caminho para vários cenários de ataques potenciais– criminosos podem transferir dinheiro por SMS para uma conta bancária, ligar para números de compras, abrir páginas de phishing no navegador ou baixar Trojans.

A vulnerabilidade é particularmente perigosa porque não depende do dispositivo em que o cartão SIM está inserido; o conjunto de comandos STK está padronizado e é suportado por todos os telefones, inclusive para dispositivos da Internet das Coisas (IoC) com um cartão SIM. Para algumas operações, como realizar chamadas, alguns gadgets requerem a confirmação do usuário, mas para outras não.

Como evitar os ataques do Simjacker?

Infelizmente, não existe nenhum método independente para que os usuários evitem os ataques. É responsabilidade das operadoras garantir a segurança de seus clientes. Acima de tudo, elas devem evitar usar aplicativos de menu SIM desatualizados, assim como bloquear os códigos SMS que contenham comandos maliciosos.

Mas há algumas boas notícias. Embora nenhum hardware caro seja necessário para realizar o ataque, são necessários amplos conhecimentos técnicos e habilidades especiais, o que significa que não é todo cibercriminoso que vai conseguir utilizar esse golpe.

Além disso, os pesquisadores notificaram o desenvolvedor do S@T Browser, a SIMalliance, sobre a vulnerabilidade. A companhia emitiu um conjunto de diretrizes de segurança para as operadoras que utilizam o aplicativo. Os ataques Simjacker também foram reportados para a GSM Association, organização internacional que representa os interesses das operadoras de telefonia móvel em todo o mundo. Então, é esperado que as empresas tomem todas as medidas protetivas necessárias o mais breve possível.

Dicas