Uma Campanha Cibernética Pró-Rússia Atinge os Ucranianos com Malware e Propaganda Anti-Mobilização
Em um desdobramento preocupante, uma campanha cibernética sofisticada está mirando os usuários ucranianos da Internet, alavancando canais populares do Telegram para espalhar malware e minar os esforços de mobilização nacional. O Google atribuiu essa atividade a um agente de ameaça identificado como UNC5812, que tem usado canais legítimos do Telegram em língua ucraniana para distribuir software perigoso e propaganda antimobilização.
Índice
O Uso do Telegram pela UNC5812 para Alcançar as Vítimas
Nos últimos meses, a UNC5812 comprou posts promovidos em canais legítimos do Telegram em ucraniano para atingir grandes públicos, alguns com até 80.000 assinantes. Notavelmente, a campanha girou em torno de um site que se passava por uma iniciativa oficial de "Defesa Civil", atraindo usuários com a promessa de software para ajudá-los a permanecer anônimos e seguros online. Na realidade, este site e seus posts promovidos são parte de um esquema maior para infectar dispositivos com malware e conduzir operações de influência destinadas a desestabilizar os esforços de recrutamento da Ucrânia.
O Site Malicioso “Defesa Civil”
O chamado site "Defesa Civil", controlado pela UNC5812, alega fornecer software para vários sistemas operacionais, incluindo um aplicativo Android disponível exclusivamente fora do Google Play. Essa restrição é apresentada como um recurso de segurança, o que implica que é mais seguro do que as ofertas da Play Store. No entanto, isso é uma cobertura para distribuir malware que pode comprometer os dispositivos dos usuários.
Para instalar esse malware com sucesso, o site instrui os usuários a desabilitar o Google Play Protect — um recurso de segurança essencial que protege os usuários do Android de aplicativos potencialmente prejudiciais — e habilitar manualmente permissões totais para o aplicativo. Ao encorajar os usuários a ignorar essas proteções essenciais, o UNC5812 aumenta a probabilidade de infectar dispositivos sem detecção, concedendo ao malware amplo acesso aos dados e funcionalidades do dispositivo.
Atividades de Influência e Desinformação
Além da distribuição de malware, o UNC5812 está envolvido em operações de influência com o objetivo de corroer o moral e o apoio militar ucranianos. O canal "Defesa Civil" do Telegram tem incentivado ativamente os usuários a enviar vídeos que podem desacreditar os militares ucranianos, ao mesmo tempo em que promove narrativas que se opõem aos esforços de mobilização. Este canal parece projetado para influenciar a opinião pública e alimentar a desconfiança nas operações militares da Ucrânia.
O site associado ao UNC5812 também é preenchido com conteúdo e imagens em língua ucraniana explicitamente se opondo à mobilização. Uma seção de "notícias" destaca casos de suposta mobilização injusta, capitalizando quaisquer queixas públicas relacionadas ao problema. Essa abordagem multifacetada — combinando malware com desinformação — aponta para um esforço não apenas para comprometer dispositivos, mas também para minar os esforços de defesa da Ucrânia de dentro.
A Resposta do Google e Implicações Mais Amplas
O Google agiu rapidamente para combater essa campanha, notificando as autoridades ucranianas sobre as atividades da UNC5812 e bloqueando o acesso ao site "Defesa Civil" na Ucrânia. Além disso, o Google adicionou os domínios e arquivos associados a essa campanha ao seu recurso Navegação Segura, visando evitar mais infecções nos serviços do Google.
Esta campanha cibernética está surgindo em um momento em que a Ucrânia introduziu uma identidade militar digital nacional para agilizar a mobilização e o gerenciamento de recrutas. De acordo com as descobertas do Google, essa mudança levou a um aumento na segmentação de potenciais recrutas militares, alinhando-se com esforços mais amplos de desinformação observados pelo EUvsDisinfo — um projeto que rastreia informações falsas de fontes pró-Rússia. Juntas, essas descobertas ilustram um esforço coordenado para explorar vulnerabilidades tecnológicas e tensões sociopolíticas, alavancando malware e informações falsas para desestabilizar a infraestrutura de recrutamento da Ucrânia.
Mantendo-se Seguro Diante de Campanhas Direcionadas
A campanha UNC5812 demonstra como os atores cibernéticos podem misturar ataques técnicos com manipulação psicológica para atingir objetivos estratégicos. Para os usuários, especialmente na Ucrânia, maior conscientização sobre segurança digital é crítica. Precauções básicas incluem baixar aplicativos exclusivamente de fontes confiáveis como o Google Play, evitar desabilitar recursos de segurança críticos como o Google Play Protect e permanecer vigilante sobre a legitimidade dos canais do Telegram que promovem conteúdo controverso ou software não solicitado.
À medida que as campanhas cibernéticas continuam a evoluir em sua sofisticação e alcance, respostas coordenadas de empresas como o Google e autoridades nacionais continuarão sendo essenciais para mitigar essas ameaças. Para indivíduos, entender os riscos de baixar aplicativos não autorizados e se envolver com conteúdo online potencialmente malicioso pode fazer uma diferença significativa em permanecer seguro contra malware e campanhas de influência.