Pesquisadores da ESET descobriram um malware específico que tem como alvo switches de software de voz sobre IP (VoIP), cujo objetivo principal é filtrar dados privados.

Este novo malware descoberto e denominado CDRThief é projetado para atingir uma plataforma VoIP muito específica, usada por dois softswitches (switches de software) produzidos na China: Linknat VOS2009 e VOS3000. Um softswitch é um elemento central de uma rede VoIP que fornece controle de chamadas, cobrança e gerenciamento. Esses softswitches são soluções baseadas em software que funcionam em servidores Linux padrão.

De acordo com a ESET, o objetivo principal do malware é filtrar vários dados privados de um switch de software comprometido, incluindo registros de detalhes de chamadas (CDRs). Os CDRs contêm metadados sobre chamadas VoIP, como os endereços IP do chamador e do destinatário da chamada, a hora de início da chamada, a duração da chamada, a taxa de chamada, etc."Esse malware chamou nossa atenção por ser uma raridade encontrar um malware Linux completamente novo. Os invasores demonstram um conhecimento profundo da plataforma que visam, pelo que sabemos, o algoritmo e as chaves de criptografia utilizadas não foram documentados. No momento, não sabemos como o malware é distribuído nos dispositivos comprometidos. Especulamos que os invasores poderiam obter acesso ao dispositivo por meio de um ataque de força bruta ou explorando uma vulnerabilidade", comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.

Os pesquisadores argumentam que, embora seja difícil estabelecer o objetivo final dos invasores por trás desse malware, visto que o próprio filtra informações confidenciais, incluindo metadados de chamadas, poderia tratar se de ciberespionagem. Outro motivo pode ser uma fraude VoIP, uma vez que os invasores obtêm informações sobre a atividade dos softswitches VoIP e de seus gateways, essas informações podem ser usadas para realizar a fraude de compartilhamento de receita internacional (IRSF).