Como remover o malware FantasyMW do seu dispositivo Android
Escrito por Tomas Meskauskas a
Que tipo de malware é o FantasyMW?
O FantasyMW é uma nova marca do malware goatRat. O FantasyMW é um trojan bancário para Android, um tipo de malware que visa especificamente informações relacionadas com bancos.
Existem diversas variantes deste programa malicioso, sendo que uma das principais diferenças entre elas é o número de bancos brasileiros visados. Uma das versões procura abusar das aplicações bancárias do Nubank e do Banco Inter. A lista da outra variante também inclui o Bradesco, o C6 Bank e a Caixa.
Visão geral do malware FantasyMW
Como é normal para o malware bancário específico do Android, o FantasyMW procura abusar dos Serviços de Acessibilidade do Android. Estes serviços destinam-se a utilizadores que necessitam de assistência adicional para interagir com os seus dispositivos. Os Serviços de Acessibilidade podem executar várias acções, incluindo a leitura do ecrã do dispositivo, a simulação do ecrã tátil e do teclado, a aceitação/recusa de avisos, etc. Assim, o malware que abusa destes serviços ganha todas as suas funcionalidades.
Quando o FantasyMW é instalado num dispositivo, pede à vítima para dar permissões ao Serviço de Acessibilidade e à sobreposição de ecrã. Quando esses pedidos são concedidos, o trojan pode exibir uma breve animação.
O malware procura então no sistema infetado por aplicações bancárias específicas. Se uma for detectada, o FantasyMW cria uma sobreposição na aplicação aberta, que imita a interface legítima. No entanto, a sobreposição funciona como uma página de phishing - as informações introduzidas, como as credenciais de login, são registadas e enviadas para os criminosos cibernéticos.
O FantasyMW também visa detalhes pessoais e outros dados relacionados com finanças. O programa malicioso tem a capacidade de intercetar SMS e chamadas telefónicas. É de salientar que as mensagens de texto são frequentemente utilizadas pelos bancos e outros serviços em processos 2FA/MFA (Two/Multi-Fator Authentication).
Além disso, o FantasyMW utiliza uma estrutura de Sistema de Transferência Automática (ATS), que lhe permite efetuar transferências bancárias automáticas.
A última versão deste malware também utiliza técnicas anti-análise - nomeadamente, a capacidade de detetar quando o programa é lançado num ambiente virtual (por exemplo, VM, sandbox, etc.).
É pertinente mencionar que os criadores de malware melhoram frequentemente as suas criações; por isso, qualquer possível versão futura do FantasyMW pode ter capacidades adicionais/diferentes.
Em suma, a presença de software como o FantasyMW nos dispositivos pode resultar em graves problemas de privacidade, perdas financeiras significativas e roubo de identidade.
| Nome | trojan bancário FantasyMW |
| Tipo de Ameaça | Malware para Android, trojan bancário, aplicação maliciosa. |
| Nomes de Detecção | Avast-Mobile (APK:RepMalware [Trj]), DrWeb (Android.BankBot.GoatRat.1.origin), ESET-NOD32 (Detecções múltiplas), Fortinet (Android/GoatRat.E!tr.spy), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Banbra.af), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo está a funcionar lentamente, as definições do sistema são modificadas sem a permissão do utilizador, a utilização de dados e da bateria aumenta significativamente, transacções não autorizadas. |
| Métodos de distribuição | Anexos de email infectados, anúncios online maliciosos, engenharia social, aplicações fraudulentas, sites fraudulentos. |
| Danos | Informações pessoais roubadas (mensagens privadas, logins/palavras-passe, etc.), desempenho reduzido do dispositivo, bateria descarregada rapidamente, velocidade da Internet diminuída, grandes perdas de dados, perdas monetárias, identidade roubada (aplicações maliciosas podem abusar dos aplicações de comunicação). |
| Remoção do Malware (Android) | Para eliminar possíveis infecções por malware, verifique o seu dispositivo móvel com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de trojans bancários
Analisámos milhares de amostras de malware; PixBankBot, Chameleon, Nexus - são apenas alguns exemplos de trojans bancários para Android.
Em geral, o malware pode visar uma grande variedade de informações e/ou ter outras funcionalidades. No entanto, independentemente da forma como o software malicioso funciona - a sua presença num sistema ameaça a integridade do dispositivo e a privacidade do utilizador. Por conseguinte, todas as ameaças devem ser eliminadas imediatamente após a sua deteção.
Como é que o FantasyMW se infiltrou no meu dispositivo?
O FantasyMW tem sido visto a ser vendido em fóruns pirata. Assim, a forma como este programa é proliferado depende dos criminosos cibernéticos que o utilizam na altura.
Normalmente, o malware é disseminado através do emprego de técnicas de phishing e engenharia social. Este software está normalmente disfarçado de aplicações/meios de comunicação comuns.
O malware é distribuído principalmente através de descarregamentos drive-by (furtivos e fraudulentos), correio não solicitado (por exemplo, email, DM/PM, SMS, etc.), fraudes online, canais de descarregamento questionáveis (por exemplo, freeware e sites de terceiros, redes de partilha P2P, etc.), software pirateado e ferramentas ilegais de ativação de programas ("cracking"), actualizadores falsos e malvertising.
Vale a pena mencionar que, apesar de este modo de distribuição ser de curta duração, o malware também pode ser encontrado em plataformas oficiais (por exemplo, Google Play Store, etc.).
Como evitar a instalação de malware?
Recomendamos veementemente a pesquisa de software através da leitura de análises de utilizadores/especialistas, prestando atenção às permissões necessárias, verificando a legitimidade do programador, etc. Além disso, todas as transferências devem ser efectuadas a partir de canais oficiais e de confiança. É igualmente importante ativar e atualizar o software utilizando funções/ferramentas legítimas, uma vez que as obtidas de terceiros podem conter malware.
Outra recomendação é estar atento durante a navegação, uma vez que os conteúdos falsos e maliciosos online parecem normalmente normais e inofensivos. A vigilância deve ser alargada aos emails e outras mensagens recebidas. Aconselhamos a não abrir anexos ou ligações encontrados em emails suspeitos, uma vez que podem estar infectados.
É importante sublinhar a importância de ter um antivírus de boa reputação instalado e atualizado. Os programas de segurança devem ser utilizados para efetuar análises regulares ao sistema e para remover as ameaças/problemas detectados.
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como redefinir o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android em "Modo de segurança"?
- Como verificar o uso de dados de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - ela permitirá que o sistema notifique quando uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo Android está infetacdo com o malware FantasyMW, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, a maioria dos programas maliciosos pode ser removida sem recorrer à formatação.
Quais são os maiores problemas que o malware FantasyMW pode causar?
Uma vez que o FantasyMW é um trojan bancário - um tipo de malware concebido para roubar informações relacionadas com finanças e efetuar transacções monetárias automáticas - as suas infecções podem levar a graves problemas de privacidade e perdas financeiras significativas.
Qual é o objetivo do malware FantasyMW?
A maioria dos programas maliciosos é utilizada para gerar rendimento e, com base nas capacidades do FantasyMW, não é uma exceção. No entanto, é pertinente mencionar que os criminosos cibernéticos também podem utilizar o malware para se divertirem, para se vingarem pessoalmente, para perturbarem processos (por exemplo, sites, serviços, empresas, etc.) e para lançarem ataques com motivações políticas/geopolíticas.
Como é que o malware FantasyMW se infiltrou no meu dispositivo Android?
O malware é mais frequentemente distribuído através de descarregamentos automáticos, emails e mensagens de spam, fraudes online, malvertising, canais de descarregamento não fidedignos (por exemplo, sites não oficiais e gratuitos de alojamento de ficheiros, redes de partilha P2P, etc.), ferramentas ilegais de ativação de software ("cracks") e actualizações falsas.
Excelente!
▼ Mostrar comentários