Como remover o trojan bancário MaliBot do seu dispositivo Android
Escrito por Tomas Meskauskas a (atualizado)
O que é MaliBot?
MaliBot é um trojan bancário direcionado a sistemas operativos (SOs) Android. Como o próprio nome indica, este malware procura principalmente extrair informações relacionadas aos bancos e finanças das vítimas.
No entanto, o MaliBot é um software malicioso multifuncional capaz de executar várias ações em dispositivos infectados, obtendo dados vulneráveis, ignorando autenticação multifator/dois fatores (MFA/2FA), e gestão/envio de SMSs (mensagens de texto).
Visão geral do malware MaliBot
Como muitos programas maliciosos direcionados ao Android (SOs), o MaliBot conta com os Serviços de Acessibilidade do Android e implementa um servidor VNC para controlar dispositivos infectados. Os Serviços de Acessibilidade são projetados para fornecer ajuda adicional na interação com o dispositivo para utilizadores que o necessitem. Por exemplo, estes serviços podem ler a tela, simular o ecrã sensível ao toque etc. Assim, os Serviços de Acessibilidade do Android são comumente usados por softwares maliciosos.
Cumulativamente, o MaliBot é capaz de realizar as seguintes ações: premir botões (voltar, início, bloquear), simular toque com base em coordenadas (clique, toque longo, rolagem, deslize), gestão de aplicações (abrir, executar, excluir), interagir com o texto (copiar, colar, excluir), tirar screenshots etc.
Este trojan pode sobrepor o ecrã com falsos que operam como páginas de phishing - registe as informações inseridas. O MaliBot foi observado a usar essa técnica para obter as credenciais de login de bancos italianos e espanhóis, como CartaBCC, UniCredit e Santander. No entanto, a variedade de recursos do MaliBot representa uma ameaça global e não exclusiva.
O programa malicioso também pode ignorar os processos de autenticação MFA/2FA; isso é auxiliado pela capacidade do trojan de interceptar SMSs e simular o ecrã sensível ao toque. Este malware tem como alvo os serviços do Google e pode burlar a autenticação de MFA quando receber um alerta de login de um novo dispositivo, confirmando a legitimidade da atividade e a fornecer mais confirmações conforme necessário.
Além disso, o MaliBot recolhe dados sobre o dispositivo (por exemplo, modelo, AndroidID, lista de aplicações, etc.) e navegação (por exemplo, endereço IP, cookies da Internet, etc.). Este trojan também pode adquirir credenciais de login para carteiras de criptomoedas (por exemplo, Binance, Trust, etc.).
Além disso, o malware pode gerir SMSs interceptando, lendo e ao enviá-las. Esta funcionalidade pode ser usada para obter códigos MFA/2FA, proliferar o MaliBot a enviar links maliciosos em massa para os contatos ou enviar mensagens para números de taxa premium. Também pode interceptar chamadas e alarmes.
O trojan também usa técnicas de garantia de persistência (por exemplo, para evitar que o Android coloque processos inativos para dormir ou encerre-os). Há evidências sugerindo que os desenvolvedores do MaliBot podem atualizar para ocultar a sua presença ou adicionar a capacidade de detectar o lançamento num ambiente virtual.
Em suma, as infecções por MaliBot podem conduzir a sérios problemas de privacidade, perdas financeiras e roubo de identidade. Se suspeitar que o seu dispositivo está infectado com MaliBot (ou outro malware) - recomendamos o uso de um antivírus para removê-lo imediatamente.
| Nome | malware MaliBot |
| Tipo de Ameaça | Malware Android, aplicação maliciosa, aplicação indesejada. |
| Nomes de Detecção | Avast-Mobile (APK:RepMalware [Trj]), ESET-NOD32 (Android/Spy.Agent.CAJ), Fortinet (Android/Agent.CAJ!tr.spy), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Sova.b), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, o uso de dados e bateria aumentou significativamente |
| Métodos de Distribuição | Mensagens de texto maliciosas (SMSs), anexos de e-mail infectados, anúncios maliciosos, engenharia social, aplicações fraudulentas, sites fraudulentos. |
| Danos | Informações pessoais roubadas (mensagens privadas, logins/palavras-passe, etc.), desempenho reduzido do dispositivo, bateria descarregada rapidamente, velocidade da Internet diminuída, grandes perdas de dados, perdas monetárias, identidade roubada (aplicações maliciosas podem abusar aplicações de comunicação). |
| Remoção do Malware (Android) | Para eliminar infecções por malware, os nossos pesquisadores de segurança recomendam verificar o seu dispositivo Android com um software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET ou Malwarebytes. |
Exemplos de trojan bancário direcionado ao Android
Analisamos dezenas de programas maliciosos direcionados a sistemas operativos Android; Hydra, Octo, BianLian, ERMAC 2.0, e Anatsa são apenas alguns exemplos de trojans bancários.
O malware pode ter uma grande variedade de funcionalidades, que podem estar em variadas combinações. Independentemente de como o software malicioso opera, a sua presença num sistema põe em risco a integridade do dispositivo e a privacidade do utilizador.
Como é que MaliBot se infiltrou no meu dispositivo?
A pesquisa feita pelo F5 Labs descobriu dois métodos usados para distribuir o MaliBot. Um distribui este trojan bancário sob o disfarce de aplicações relacionadas a criptomoedas, enquanto o outro está smishing.
O MaliBot foi disfarçado como TheCryptoApp - uma aplicação legítima de rastreio de criptomoedas. Quando os utilizadores tentaram descarregar o aplicação fraudulentas num dispositivo Android - descarregaram o MaliBot, enquanto diferentes utilizadores do sistema operativo foram redirecionados para o TheCryptoApp real na Google Play Store. O outro disfarce - Mining X - não é baseado em nenhuma aplicação existente e se baseia num código QR que leva ao descarregamento do ficheiro infeccioso.
A segunda técnica de proliferação emprega o recurso de envio de SMS do MaliBot para enviar mensagens de texto de spam maliciosas para todos os contatos de um dispositivo infectado. No entanto, o MaliBot pode se distribuir a usar vários métodos e disfarces (por exemplo, "Chrome", "MySocialSecurity" etc.).
Os criminosos cibernéticos normalmente usam técnicas de phishing e engenharia social para distribuição de programas maliciosos. Os métodos de proliferação mais comuns incluem: spam (por exemplo, e-mails, SMSs, mensagens privadas/diretas, etc.), canais de descarregamento não confiáveis (por exemplo, sites não oficiais e freeware, redes de partilha P2P etc.), drive-by (furtivo e fraudulento) ), malvertising, fraudes online, ferramentas ilegais de ativação de software ("cracks") e atualizações falsas.
Como evitar a instalação de malware?
Aconselhamos fortemente pesquisar software e descarregá-lo de fontes oficiais/verificadas. Além disso, ative e atualize programas a usar funções/ferramentas fornecidas por desenvolvedores legítimos, pois ferramentas de ativação ilegal ("cracking") e atualizadores falsos podem conter malware.
Outra recomendação é ter cuidado com os e-mails recebidos. Os anexos e links encontrados em e-mails/SMSs/mensagens suspeitos não devem ser abertos - pois isso pode resultar numa infecção do sistema.
Devemos enfatizar a importância de ter um antivírus confiável instalado e atualizado. O software de segurança deve ser usado para realizar verificações regulares do sistema e remover ameaças e problemas.
As aplicações bancárias visadas pelo trojan MaliBot (CartaBCC, UniCredit, e Santander) - fonte: F5 Labs:
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android em "Modo de segurança"?
- Como verificar o uso de dados de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", then "LIMPAR TODOS OS DADOS" e confirme a ação tocando em "OK". Note que a redefinição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de Segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
PPrima o botão "Desligar" e mantenha-o premido até ver o ecrã "Desligar". Toque no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de Segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados pelos criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Em caso afirmativo, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - permitirá que o sistema notifique assim que uma atualização for lançada e/ou instale-a automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação mal-intencionada obtiver privilégios de administrador, poderá danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais aplicações têm estes privilégios e desativar as que não devem ter.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo Android está infectado com malware MaliBot. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, a remoção do MaliBott não requer formatação.
Quais são os maiores problemas que o malware MaliBot pode causar?
As ameaças apresentadas por um software malicioso dependem das suas funcionalidades e dos objetivos dos criminosos cibernéticos. MaliBot é um trojan bancário multifuncional; tem como alvo uma variedade de informações confidenciais e relacionadas a bancos/finanças. Essas infecções podem conduzir a graves problemas de privacidade, perdas financeiras significativas e até roubo de identidade.
Qual é o objetivo do malware MaliBot?
A maioria dos programas maliciosos é usada para gerar rendimento, e isso provavelmente aplica-se ao MaliBot. No entanto, os ataques de malware também podem ser motivados por diversão de criminosos cibernéticos, interrupção de processos (por exemplo, sites, serviços, empresas etc.), restentimentos pessoais ou motivos políticos/geopolíticos.
Como é que o malware MaliBot se infiltrou no meu dispositivo Android?
O MaliBot foi observado a ser distribuído sob o disfarce de The CryptoApp - uma aplicação genuína e a aplicação "Mining X" que não possui um equivalente legítimo. Outros disfarces incluem "MySocialSecurity", "Chrome" e assim por diante. Esse trojan bancário também se distribui através de smishing, ou seja, mensagens de texto de spam a promover conteúdo malicioso.
Regra geral, os métodos de distribuição de malware mais populares incluem: descarregamentos drive-by, e-mail de spam, fontes de descarregamento duvidosas (por exemplo, sites de freeware e de terceiros, redes de partilha P2P etc.), fraudes online, ferramentas ilegais de ativação de programas ("cracks"), técnicas de auto-difusão (através de redes localizações, dispositivos de armazenamento removíveis etc.) e atualizações falsas.
Excelente!
▼ Mostrar comentários