Removendo o FaceStealer - Roubo de credenciais malware no Facebook
Escrito por Tomas Meskauskas a
O que é FaceStealer?
Ao analisar novos envios no VirusTotal, encontramos o FaceStealer - um trojan específico para Android. Este malware opera como um ladrão de credenciais de login de conta de rede social do Facebook. A nossa pesquisa revelou que é proliferado sob o disfarce de várias aplicações Android populares.
Visão geral de FaceStealer
Ao analisar o FaceStealer, notamos que primeiro exibe uma janela da suposta aplicação, que redireciona para pedir que os utilizadores façam login com as suas credenciais do Facebook.
A janela exibida é a página de login legítima do Facebook. No entanto, as credenciais (ou seja, endereço de e-mail/número de telefone e palavra-passe) inseridas na página são registradas através de código JavaScript malicioso injetado nela. Depois, essas informações são enviadas para os criminosos cibernéticos. Além das credenciais do Facebook, o FaceStealer também tem como alvo os dados de cookies do agente do utilizador e do navegador.
Este trojan foi disfarçado como muitas aplicações populares; no momento da pesquisa, havia 26 deles (lista completa abaixo).
Para explicar como os criminosos podem abusar de contas de redes sociais sequestradas, como o Facebook, podem usá-las para distribuir malware a enviar ficheiros e links maliciosos, anunciar conteúdo, distribuir desinformação e assim por diante. Os criminosos cibernéticos também podem fingir ser o proprietário genuíno da conta e pedir empréstimos aos seus amigos.
Em suma, as infecções por malware FaceStealer podem resultar em graves problemas de privacidade, perdas financeiras e até roubo de identidade.
| Nome | malware FaceStealer |
| Tipo de Ameaça | malware android, aplicação maliciosa, aplicação indesejada. |
| Nomes de Detecção | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Adware.Agent.BL), ESET-NOD32 (Multiple Detections), Kaspersky ( HEUR:Trojan-PSW.AndroidOS.Facestealer.x), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aplicações questionáveis aparecem, os dados e o uso da bateria aumentam significativamente, os navegadores redirecionam para sites questionáveis, os anúncios intrusivos são exibidos. |
| Métodos de Distribuição | Anexos de e-mail infectados, anúncios online maliciosos, engenharia social, aplicações fraudulentas, sites fraudulentos. |
| Danos | Informações pessoais roubadas (mensagens privadas, logins/palavras-passe, etc.), desempenho reduzido do dispositivo, bateria descarregada rapidamente, velocidade da Internet diminuída, grandes perdas de dados, perdas monetárias, identidade roubada (aplicações maliciosas podem abusar dos aplicações de comunicação). |
| Remoção de malware (Android) | Para eliminar infecções por malware, os nossos pesquisadores de segurança recomendam fazer uma verificação no seu dispositivo Android com software anti-malware legítimo. Recomendamos Avast, Bitdefender, ESET ou Malwarebytes. |
Malware em geral
SharkBot, Ghimob, BlackRock, e AbstractEmu são alguns exemplos de programas maliciosos específicos do Android. É pertinente mencionar que o malware pode ter uma ampla gama de capacidades prejudiciais, que podem estar em combinações variadas.
Os recursos comuns incluem: extração de informações, exfiltração de ficheiros, descarregamento/instalação de software malicioso adicional, espiagem (por exemplo, gravação de tela, keylogging, gravação de áudio/vídeo através de microfones e câmaras, etc.), encriptação de dados/bloqueio de ecrã (ransomware), controlo remoto ativação de acesso/controlo, e assim por diante.
Deve-se enfatizar que, independentemente de como o malware opera, as suas infecções colocam em risco a integridade do dispositivo e a segurança do utilizador. Portanto, é crucial eliminar todas as ameaças imediatamente após a detecção.
Como é que FaceStealer se infiltrou no meu dispositivo?
Conforme relatado no blog K7 Security, as aplicações falsas (lista completa) que o FaceStealer estava disfarçado - foram distribuídos pela Google Play Store e várias lojas de aplicações de terceiros.
O uso de fontes de descarregamento legítimas não é uma técnica de distribuição de malware generalizada devido à sua curta duração. O conteúdo malicioso nestes canais de descarregamento pode ser rapidamente detectado/denunciado e posteriormente removido; no entanto, isso não significa que estes processos sejam infalíveis. Muitos dos aplicações do FaceStealer estão atualmente indisponíveis no Google Play, mas novos podem tê-los substituído.
Vale a pena mencionar outras técnicas comuns de distribuição de malware, como spam (por exemplo, e-mails, mensagens de texto, etc.), canais de descarregamento duvidosos (por exemplo, sites não oficiais e freeware, redes de partilha peer-to-peer etc.), fraudes online, ferramentas de ativação ilegal ("cracking") e atualizadores falsos.
Como evitar a instalação de malware?
Aconselhamos fortemente pesquisar aplicações e descarregá-los apenas de fontes oficiais/verificadas. Além disso, o software deve ser ativado e atualizado com ferramentas/funções fornecidas por desenvolvedores genuínos, pois os obtidos de terceiros podem conter malware.
Outra recomendação é ter cuidado com as mensagens recebidas. Os anexos e links encontrados em e-mails suspeitos/irrelevantes (e-mails, SMS, etc.) não devem ser abertos - pois isso pode conduzir a uma infecção do sistema.
Temos que enfatizar a importância de ter um antivírus de boa reputação instalado e atualizado. Este software deve ser usado para realizar verificações regulares do sistema e remover ameaças detectadas.
Aparência do trojan FaceStealer disfarçado de aplicação legítima no Google Play:
A lista de aplicações usadas para disfarçar o trojan FaceStealer inclui (mas não se limita a):
- App Lock Keep
- App Lock Manager
- Artnes Video Splitter
- Fresh Desktop
- Horoscope Daily
- Horoscope Pi
- Inwell Fitness
- Lockit Master
- Oxagon Lighting Wallpaper Edge
- PIP Photo
- Photo Collage Editor
- Photo Maker
- Pics Art
- Processing Photo
- Prowire VPN – Secure Proxy
- Pumpkin VPN
- Rubbish Cleaner
- Secure VPN Pro
- Smart Scanner
- Snap Beauty Camera
- Snap Editor Pro
- Super-Click VPN
- Touch VPN Proxy
- Unique vpn
- YouPerfect Camera
- YourWallpaper
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como iniciar o dispositivo Android no "Modo de Segurança"?
- Como verificar o uso da bateria de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até encontrar a aplicação "Chrome", selecione-o e toque na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador Firefox:
Visite o site que está a exibir notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Cadeado") e selecione "Editar configurações do site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até encontrar a aplicação "Firefox", selecione-o e toque na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação gravando em "ELIMINAR". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", role para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, embora nunca o use, recomendamos fortemente que desinstale-a o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão continuamente a lançar vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser utilizados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre se certificar que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Em caso afirmativo, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - permitirá que o sistema notifique assim que uma atualização for lançada e/ou instale-a automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", role para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", role para baixo até ver "Ecrã de bloqueio e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas para "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo está infectado com o malware FaceStealer, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, malware como o FaceStealer pode ser removido sem formatação.
Quais são os maiores problemas que o malware FaceStealer pode causar?
Que perigos representa um programa malicioso - depende das suas capacidades e dos objetivos dos criminosos cibernéticos. Como o FaceStealer tem como alvo as credenciais de login do Facebook, as vítimas podem perder as suas contas do Facebook e enfrentar problemas associados (por exemplo, problemas graves de privacidade, roubo de identidade, perdas financeiras etc.).
Qual é o objetivo do malware FaceStealer?
Normalmente, o malware é usado para gerar lucro. No entanto, outras razões possíveis incluem motivações políticas e geopolíticas, ressentimentos pessoais (ou seja, atacar vítimas específicas), interrupção do processo (por exemplo, site, serviço, empresa, organização etc.), ou o malware pode ser libertado simplesmente para entreter os criminosos cibernéticos.
Como é que o malware FaceStealer se infiltrou no meu computador?
O FaceStealer foi observado a ser distribuído disfarçado de aplicações populares através do Google Play e lojas de aplicações de terceiros. Em geral, o malware é proliferado a usar técnicas de phishing e engenharia social. Os programas maliciosos são distribuídos principalmente por e-mail de spam, sites de descarregamento não oficiais e de freeware, os descarregamentos drive-by, redes de partilha peer-to-peer, fraudes online, atualizações falsas, ferramentas ilegais de ativação de software ("cracks") e assim por diante. Alguns malwares são capazes de se distribuir por redes localizações e dispositivos de armazenamento removíveis (por exemplo, unidades flash USB, discos rígidos externos etc.).
O Combo Cleaner vai proteger-me contra o malware?
Sim, o Combo Cleaner pode detectar e eliminar a maioria das infecções de malware conhecidas. Deve-se enfatizar que executar uma verificação completa do sistema é crucial - já que softwares maliciosos sofisticados geralmente ocultam-se profundamente nos sistemas.
Excelente!
▼ Mostrar comentários