Como remover o Joker (SysJoker) de dispositivos Android
Escrito por Tomas Meskauskas a (atualizado)
O que é o malware Joker?
O Joker (também conhecido como SysJoker) é um Trojan malware que tem como alvo os utilizadores do Android. Foi agregado em pelo menos duas dezenas de aplicações que foram descarregues da loja Google Play mais de 400.000 vezes. O principal objectivo do Joker é gerar rendimentos para os criminosos cibernéticos responsáveis através de actividades publicitárias fraudulentas.
Se uma aplicação instalada num dispositivo Android contiver malware Joker, remova-a imediatamente.
Visão geral do malware Joker
O Joker é capaz de interagir com várias redes de publicidade e páginas web, simulando cliques e inscrevendo furtivamente utilizadores insuspeitos em serviços premium.
Por exemplo, o Joker pode inscrever as vítimas num serviço premium de um site por uma taxa semanal, simulando cliques na página web, introduzindo automaticamente os códigos de oferta do operador e extorquindo códigos de confirmação de mensagens de texto enviadas para o dispositivo da vítima.
O processo é concluído fornecendo códigos para a página web do anúncio, no entanto, Joker pode ser usado para simplesmente enviar mensagens de texto para os números premium também. Em qualquer caso, assim que a vítima se regista, o Joker envia informações relacionadas para um servidor de Comando & Controlo (C2) controlado pelos criminosos cibernéticos, e a vítima deve aguardar instruções adicionais.
A pesquisa demonstra que o Joker pode ser utilizado para roubar mensagens SMS e informações de contacto. A lista de aplicações afectadas pelo malware Joker é fornecida abaixo. Se alguma destas aplicações estiver instalada num dispositivo, deve ser eliminada imediatamente, no entanto, é muito provável que a maioria/todos estas aplicações já não estejam disponíveis na loja Google Play.
| Nome | malware Joker (SysJoker) |
| Tipo de Ameaça | Malware para Android, aplicação maliciosa. |
| Nomes de Detecção (Stud Finder) | Ikarus (Win32.Outbreak), Kaspersky (HEUR:Trojan.AndroidOS.Jocker.wx), ZoneAlarm by Check Point (HEUR:Trojan.AndroidOS.Jocker.wx), Lista Completa de Detecções (VirusTotal) |
| Sintomas | O dispositivo funciona lentamente, as definições do sistema são modificadas sem a permissão dos utilizadores, aparecem aplicações questionáveis, a utilização de dados e da bateria aumenta significativamente, os navegadores são redireccionados para sites não autorizados, são apresentados anúncios intrusivos, os utilizadores são subscritos a serviços de tarifa majorada, a conta telefónica aumenta significativamente. |
| Métodos de Distribuição | Google Play Store, anexos de emails infectados, anúncios online maliciosos, engenharia social, aplicações fraudulentas, sites fraudulentos. |
| Danos | Informações pessoais roubadas (mensagens privadas, desempenho reduzido do dispositivo, bateria descarregada rapidamente, diminuição da velocidade da Internet, perdas significativas de dados, perdas monetárias, identidade roubada (aplicações maliciosas podem abusar de aplicações de comunicação). |
| Remoção de malware (Android) | Para eliminar infecções por malware, os nossos pesquisadores de segurança recomendam verificar o seu dispositivo Android com um software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET ou Malwarebytes. |
Exemplos de malware específico para Android
Outros exemplos de malware para Android incluem Anubis, Eventbot e Ginp. Os exemplos fornecidos funcionam de forma diferente, no entanto, o objectivo principal é idêntico: ajudar os criminosos cibernéticos a gerar rendimentos de várias formas. Normalmente, as vítimas destes ataques de malware sofrem perdas monetárias, tornam-se vítimas de roubo de identidade, têm problemas de privacidade online e outros problemas.
Como é que Joker se infiltrou no meu dispositivo?
O Joker foi (e pode ainda ser) distribuído através de aplicações que estão disponíveis na loja Google Play. Felizmente, a Google detecta e remove as aplicações maliciosas do Google Play. Além disso, o risco de ter um dispositivo infectado com um Trojan como o Joker pode ser eliminado utilizando serviços como o Google Play Pass.
Note que vários malwares são frequentemente distribuídos através de canais de descarregamento não fidedignos, tais como redes Peer-to-Peer (por exemplo, clientes de torrent, eMule), sites não oficiais, descarregadores de terceiros, páginas de alojamento de ficheiros gratuitos, sites de descarregamento de freeware, etc. Os criminosos cibernéticos utilizam-nos normalmente para alojar ficheiros maliciosos que, se descarregues e abertos, instalam malware.
O malware também se propaga através do envio de mensagens de email que contêm um documento malicioso do Microsoft Word ou PDF, um ficheiro executável (.exe), um ficheiro JavaScript ou um ficheiro de arquivo (ZIP, RAR). No entanto, os dispositivos só são infectados se os destinatários abrirem os ficheiros (ou abrirem ficheiros descarregues através de ligações a sites incluídos).
Vários actualizadores e instaladores falsos também podem levar à instalação de malware. Instalam simplesmente malware em vez de actualizações, ou exploram bugs/falhas de software desactualizado.
Como evitar a instalação de malware?
Não se deve confiar em mensagens de emails irrelevantes enviadas de endereços desconhecidos, suspeitos ou duvidosos e que contenham anexos ou ligações web. As ligações e os ficheiros contidos nas mensagens de emails não devem ser abertos sem que se tenha a certeza de que é seguro fazê-lo.
O software não deve ser descarregue ou instalado através de descarregadores de terceiros, instaladores, redes Peer-to-Peer (por exemplo, clientes de torrent, eMule) ou outros canais deste tipo. Todas as aplicações e ficheiros devem ser descarregues apenas de sites oficiais e através de ligações directas.
Além disso, o software instalado deve ser actualizado e activado através de ferramentas ou funções concebidas por programadores oficiais. As ferramentas de terceiros distribuem frequentemente malware. Além disso, é ilegal contornar a activação de programas licenciados com várias ferramentas de activação não oficiais ("cracking").
Lista de aplicações afectadas pelo malware Joker (a maioria/todos já foram removidos da loja Google Play, no entanto, podem ainda existir em dispositivos já infectados):
- Advocate Wallpaper
- Age Face
- Altar Message
- Antivirus Security – Security Scan
- Beach Camera
- Board picture editing
- Certain Wallpaper
- Climate SMS
- Collate Face Scanner
- Cute Camera
- Dazzle Wallpaper
- Declare Message
- Display Camera
- Great VPN
- Humour Camera
- Ignite Clean
- Leaf Face Scanner
- Mini Camera
- Print Plant scan
- Rapid Face Scanner
- Reward Clean
- Ruddy SMS
- Soby Camera
- Spark Wallpaper
- Quick SMS
Actualização de 13 de Novembro de 2020 - A versão actualizada do Joker utiliza o Github (utiliza o Github e o Github Pages para armazenar a sua carga maliciosa) para que seja mais difícil detectá-lo.
Utiliza código JS para executar comandos recebidos de C&C (Comando e Controlo servidor) que permitem aos agentes da ameaça adicionar um comentário na página aberta, ler o código PIN de uma notificação, enviar mensagens SMS, pedidos POST e GET, e alguns outros comandos. Também utiliza servidores C&C para ocultar dados que podem indicar a sua actividade maliciosa.
Screenshot de uma aplicação (Blood Pressure Health) utilizada para disfarçar o trojan Joker:
Screenshot de mais uma aplicação ("Stud Finder") usado como disfarce para o trojan Joker:
Actualização 15 de Julho de 2022 - Os criminosos cibernéticos lançaram recentemente uma variante actualizada do malware Joker (também conhecido como SysJoker) que foi concebida para subscrever furtivamente vários serviços premium sem o consentimento do utilizador. A variante tem o nome de Autolycos.
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android em "Modo de segurança"?
- Como verificar o uso de dados de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - ela permitirá que o sistema notifique quando uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo Android está infectado com malware Joker, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A maioria dos programas maliciosos pode ser removida sem formatação.
Quais são os maiores problemas que o malware Joker pode causar?
Os perigos que uma infecção representa dependem das capacidades do malware e do modus operandi dos criminosos cibernéticos. O Joker opera principalmente subscrevendo as vítimas a serviços premium e fazendo chamadas/enviando mensagens de texto para números de tarifa premium. Também tem algumas funcionalidades de roubo de dados. Geralmente, essas infecções podem levar a graves problemas de privacidade, perdas financeiras e potencial roubo de identidade.
Qual é o objetivo do malware Joker?
A maioria dos programas maliciosos são usados para gerar rendimento, e Joker não é uma excepção. No entanto, é pertinente mencionar que o malware também pode ser utilizado pelos criminosos cibernéticos para se divertirem, para levar a cabo rancores pessoais, para perturbar processos (por exemplo, sites, serviços, empresas, etc.) e até para lançar ataques com motivações políticas/geopolíticas.
Como é que o malware Joker se infiltrou no meu dispositivo Android?
O malware Joker foi observado sendo ativamente distribuído sob vários disfarces através da Google Play Store. No entanto, pode ser proliferado usando outras técnicas também. O malware é distribuído principalmente através de descarregamentos automáticos, fraudes online, malvertising, emails e mensagens de spam, fontes de descarregamento questionáveis (por exemplo, sites de freeware e de terceiros, redes de partilha P2P, etc.), ferramentas ilegais de activação de software ("cracking") e actualizações falsas.
Excelente!
▼ Mostrar comentários