O Google adiciona registro de invasões para Android, que pode ser usado para solucionar problemas de ataques de spyware

Em resposta à intensificação dos ataques de spyware em nível estatal nos últimos anos, o Google está desenvolvendo um novo recurso opcional para o sistema Android: registro de invasões. Esse recurso não se destina a usuários comuns, mas ajuda os pesquisadores de segurança de rede a verificar se o dispositivo foi infectado por spyware por meio de uma inspeção aprofundada dos logs do sistema.

O registro de invasões é colocado no modo de proteção avançada do Android. O modo de proteção avançada do Android é um recurso opcional lançado pelo Google para usuários do Android. Depois que os usuários ativarem esse recurso, algumas opções do sistema serão desativadas para melhorar a segurança. Por exemplo, depois de ativar o modo de proteção avançada, será significativamente mais difícil infectar através das vulnerabilidades do kernel do navegador.

O modo de proteção avançada também pode lidar com dispositivos forenses que tentam extrair informações importantes do sistema. Num ataque anterior de spyware a nível nacional na Sérvia, as autoridades sérvias utilizaram ferramentas forenses desenvolvidas pela Cellebrite para desbloquear dispositivos Android, instalaram spyware e continuaram a monitorizar o alvo.

O registro de invasões pode fornecer aos pesquisadores registros abrangentes:

A função de registro de intrusão é essencialmente um novo tipo de registro desenvolvido pelo Google para o sistema Android. Este novo tipo de log é mais abrangente e detalhado do que o log normal do sistema Android. Ele é usado para registrar vários eventos de software e coletar evidências, ajudando assim os usuários e pesquisadores de segurança de rede a compreender os meandros dos suspeitos de ataques de spyware.

No passado, a análise forense baseava-se principalmente em registos que não foram concebidos para detectar intrusões. Esses logs não são muito úteis para pesquisadores de segurança de rede porque são mantidos por um curto período de tempo e muitas vezes são sobrescritos. A latência do spyware pode ser muito longa e, se os logs forem sobrescritos, os pesquisadores não conseguirão rastrear a origem do ataque.

Agora com a função de registro de intrusão, quando esta função estiver habilitada, o sistema irá criar e coletar logs todos os dias. Os registros coletados serão criptografados usando algoritmos de alta resistência e enviados para a conta do Google do usuário. Portanto, mesmo que os logs sejam apagados localmente, os pesquisadores ainda podem continuar a pesquisar os logs por meio da nuvem.

Deve ser mencionado aqui que o recurso de registro de intrusão foi desenvolvido em 2025, mas o Google só agora o está implantando gradualmente. O Google declarou em seu blog que esse recurso está sendo implementado em dispositivos com atualização do Android de 16 de dezembro de 2025 ou superior.

Quais eventos de rastreamento o registro de intrusão fornece:

• Quando o dispositivo Android foi desbloqueado?

• Quando um aplicativo é instalado, iniciado ou desinstalado

• A quais sites ou servidores o dispositivo Android está conectado?

• Alguém está usando o dispositivo de destino para se conectar ao ADB (as ferramentas forenses precisarão se conectar através do ADB e ler os dados)

• Alguém tentou excluir os logs do rastreamento acima (isso sugeriria que alguém estava tentando ocultar evidências do ataque)