Spyware ResidentBat ligado à KGB da Belarus dá acesso persistente a dispositivos móveis
Uma nova variante de spyware para Android, chamada ResidentBat, foi vinculada à KGB da Belarus, o serviço de segurança do estado. A ferramenta fornece aos operadores estatais acesso profundo e persistente aos dispositivos móveis de jornalistas e membros da sociedade civil. Documentado publicamente pela primeira vez em dezembro de 2025 através de uma investigação conjunta da Repórteres Sem Fronteiras (RSF) e da RESIDENT.NGO, a análise do código sugere que o malware foi desenvolvido silenciosamente desde 2021, potencialmente operando por anos antes de ser exposto.
Modelo de implantação altamente direcionado
O que diferencia o ResidentBat do malware móvel típico é seu modelo de implantação. Ao contrário de ameaças que se espalham por links maliciosos ou lojas de aplicativos, a instalação do ResidentBat requer acesso físico ao dispositivo Android do alvo. O atacante usa a ferramenta Android Debug Bridge (ADB) para fazer o sideload do APK do spyware diretamente no dispositivo, concede manualmente as permissões necessárias e desativa o Google Play Protect para evitar detecção.
Este método manual mantém a taxa de infecção baixa, mas garante que cada dispositivo comprometido pertença a uma pessoa que a KGB da Belarus escolheu deliberadamente para vigilância. Uma vez instalado, o spyware é capaz de capturar uma ampla gama de dados sensíveis: mensagens SMS, registros de chamadas, gravações de áudio via microfone, capturas de tela, acesso a arquivos locais e até interceptação de tráfego de aplicativos de mensagens criptografadas.
Infraestrutura de C2 endurecida e evasão de detecção
Analistas da Censys identificaram a infraestrutura de comando e controle (C2) do malware e notaram sua impressão digital técnica consistente: certificados TLS autoassinados com o nome comum definido como "CN=server", operando em uma faixa estreita de portas de 7000 a 7257. O C2 é usado apenas para receber dados roubados, enviar comandos do operador e entregar atualizações de configuração.
Uma das características mais notáveis do ResidentBat é o endurecimento deliberado de seus servidores C2, o que dificulta extraordinariamente a detecção baseada em rede. Quando pesquisadores sondam ativamente esses servidores, cada caminho HTTP retorna uma resposta 200 OK com um corpo completamente vazio, independentemente do conteúdo da solicitação ou dos cabeçalhos de autenticação enviados. Este padrão de resposta catch-all não fornece informações comportamentais úteis para defensores analisando o tráfego HTTP, empurrando toda a detecção significativa para indicadores na camada TLS.
Além disso, os servidores C2 retornam um cabeçalho Date estático ou artificialmente definido nas respostas HTTP — por exemplo, um timestamp fixo como "Tue, 06 Jan 2026 01:00:00 GMT" — uma técnica anti-forense projetada para reduzir a capacidade de criação de impressões digitais. A arquitetura do servidor também parece depender de autenticação por certificado de cliente embutido diretamente no APK, um protocolo de comunicação proprietário e listas de permissão de dispositivos do lado do servidor.
Alcance geográfico e capacidade de destruição
Em fevereiro de 2026, a infraestrutura ativa do ResidentBat foi identificada em dez hosts, concentrados na Holanda (5), Alemanha (2), Suíça (2) e Rússia (1), com sistemas autônomos russos como o AS29182 (RU-JSCIOT) desempenhando um papel particularmente notável.
O alcance do malware vai além do roubo de dados. O ResidentBat também dá aos operadores a capacidade de apagar remotamente um dispositivo comprometido usando a função DevicePolicyManager.wipeData do Android — efetivamente destruindo evidências ou punindo um alvo com um único comando. Esta combinação de vigilância persistente e capacidade de "negar o ativo" torna o ResidentBat uma ferramenta poderosa para repressão estatal direcionada.
A descoberta deste spyware reforça a tendência de grupos ligados a Estados utilizarem malware móvel altamente direcionado para vigilância de dissidentes, ativistas e jornalistas, destacando a necessidade de medidas de segurança física e digital robustas para esses grupos.