Pesquisadores da Palo Alto Networks documentaram um aumento significativo no uso malicioso de códigos QR, com campanhas que misturam phishing e distribuição de aplicativos maliciosos em dispositivos móveis. Os ataques, conhecidos como "quishing", exploram a confiança dos usuários nessa tecnologia ubíqua para pagamentos e acesso rápido a informações.
Escala da ameaça
Os crawlers da Unit 42, equipe de pesquisa da Palo Alto Networks, analisam aproximadamente 75.000 códigos QR diariamente. Desse total, cerca de 15% das páginas vinculadas são maliciosas, resultando em mais de 11.000 detecções por dia. Os pesquisadores observaram 59.000 detecções ligadas a 1.457 APKs distintos distribuídos via códigos QR.
Vetores de ataque e técnicas
Os atacantes utilizam múltiplas técnicas através dos códigos QR:
- Redirecionamentos em cadeia: Os QR codes escondem longas cadeias de redirecionamento que terminam em páginas de phishing convincentes.
- Deep links em aplicativos: Cerca de 3% dos códigos QR contêm links profundos que acionam ações específicas dentro de aplicativos como Telegram, Signal, WhatsApp e Line. Os pesquisadores observaram mais de 35.000 códigos QR carregando deep links do Telegram, sendo 97% deles links de login.
- Instalação direta de APKs: Os códigos podem direcionar para downloads diretos de aplicativos maliciosos, contornando as verificações das lojas oficiais.
- Envenenamento de contatos: Alguns ataques visam adicionar contatos maliciosos automaticamente à lista de contatos do dispositivo.
Desafios para a detecção
O comportamento resultante de deep links em aplicativos pode ser invisível para análises web tradicionais, muitas vezes exigindo sandboxes móveis com o aplicativo alvo instalado e análise caso a caso de esquemas de URL personalizados. A maioria das verificações ocorre em dispositivos pessoais com controles mais fracos do que em desktops corporativos gerenciados.
Recomendações de mitigação
As equipes de segurança devem tratar códigos QR como entrada não confiável, verificando-os antes do acesso pelos usuários. Recomenda-se expandir o monitoramento para imagens de QR em páginas web e documentos, bloquear o abuso conhecido de encurtadores de QR e restringir instalações diretas de APKs. O fortalecimento da filtragem de e-mail e web para detectar iscas baseadas em QR e prevenir redirecionamentos maliciosos também é essencial.
Para usuários finais, as recomendações incluem sempre verificar a fonte, visualizar a URL completa antes de abrir, evitar prompts de pagamento urgentes, nunca aprovar logins em aplicativos ou links de dispositivos a partir de códigos QR aleatórios, manter o sistema operacional atualizado e desabilitar configurações de instalação de aplicativos desconhecidos.