Um spyware batizado de DKnife opera silenciosamente em roteadores desde 2019, coletando dados sensíveis sem levantar suspeitas. A ameaça, que permaneceu despercebida por anos, usa uma arquitetura modular complexa para espionagem digital. A descoberta revela uma campanha de longa duração contra infraestruturas de rede domésticas e corporativas.
Como funciona o spyware DKnife
O DKnife é uma ameaça persistente que atua através de múltiplos módulos especializados. Cada componente tem uma função específica na operação de espionagem.
Módulo principal: dknife.bin
Este arquivo atua como o motor central do sistema. Ele monitora passivamente todo o tráfego de rede que passa pelo roteador infectado.
O módulo lê o conteúdo de todos os dados que trafegam na rede comprometida. Isso permite que os agentes maliciosos tenham uma visão ampla das atividades online dos usuários.
Transmissão de dados: postapi.bin
Este componente tem função de relatório, enviando os dados coletados diretamente para os hackers. O processo ocorre de maneira automatizada, garantindo um fluxo constante de informações.
O módulo pode ser configurado para reportar em intervalos regulares ou sob certas condições específicas.
Ataque a dispositivos Android: mmdown.bin
Este módulo funciona como um atualizador projetado para renovar arquivos maliciosos em dispositivos Android. Sua presença indica que a campanha visa não apenas redes, mas também smartphones e tablets conectados a elas.
O mecanismo permite que o código malicioso se adapte e persista mesmo após tentativas de remoção.
Capacidades avançadas do spyware
Quebra de comunicações seguras: sslmm.bin
Este módulo atua como um proxy reverso com função específica de desencriptar comunicações seguras. Ele permite o roubo de senhas de e-mail e outras credenciais sensíveis.
A técnica contorna proteções padrão da internet, como o protocolo HTTPS. Dados transmitidos por conexões consideradas seguras podem ser interceptados.
Criação de rede oculta: yitiji.bin
Este componente, cujo nome significa “todos em um” em chinês, cria uma rede oculta diretamente no roteador infectado. A rede paralela é destinada ao tráfego malicioso.
Ela permite que os hackers movimentem dados sem chamar a atenção de ferramentas de segurança convencionais. O roteador comprometido se torna uma base operacional para atividades ilícitas.
Acesso remoto: remote.bin
Este módulo cria uma VPN privada que permite acesso remoto dos hackers ao roteador comprometido. A conexão segura e dedicada facilita a administração da ameaça sem deixar rastros evidentes.
A VPN atua como um túnel exclusivo entre os criminosos e a vítima, permitindo que a espionagem seja conduzida de qualquer lugar do mundo.
Manutenção e persistência
Atualização constante: dkupdate.bin
Este componente é responsável por manter os outros módulos atualizados e funcionando corretamente. Ele verifica regularmente a integridade do código malicioso e aplica correções quando necessário.
O atualizador pode buscar novas versões dos módulos a partir de servidores controlados pelos hackers. Essa capacidade de autopreservação explica como a ameaça permaneceu ativa desde 2019.
Riscos e implicações
A operação do DKnife desde 2019 sem detecção revela uma sofisticação notável em campanhas de espionagem digital. A combinação de múltiplos módulos especializados permite uma coleta abrangente e contínua de dados.
Os principais riscos para os usuários incluem:
- Roubo de senhas e credenciais
- Interceptação de comunicações privadas
- Perda de informações confidenciais
- Criação de redes ocultas para outros crimes cibernéticos
A ameaça serve como alerta para a necessidade de vigilância constante sobre dispositivos de rede. A proteção contra spyware requer atenção tanto a equipamentos quanto aos hábitos de segurança online.