Como remover o trojan bancário Cerberus
Escrito por Tomas Meskauskas a (atualizado)
O que é Cerberus?
Cerberus é um Trojan bancário Android que pode ser alugado em fóruns piratas. Foi criado em 2019 e é usado para roubar informações sigilosas e confidenciais. Cerberus também pode ser usado para enviar comandos aos dispositivos dos utilizadores e executar ações perigosas.
Normalmente, os criminosos cibernéticos por trás de trojan bancários, como o Cerberus, tentam obter acesso a informações, que podem ser utilizadas indevidamente para gerar rendimento.
Cerberus está disfarçado como uma aplicação Flash Player ou um serviço, que não aparece na gaveta das aplicações. Tenta enganar os utilizadores para que forneçam mais privilégios através do Serviço de Acessibilidade. Se estes privilégios forem concedidos, o Cerberus está ligado a um botnet e pode receber comandos de um servidor Command & Control (C2).
Os criminosos cibernéticos por trás do Cerberus podem usá-lo para realizar várias ações no dispositivo da vítima.
Por exemplo, como um keylogger, para adquirir a lista de aplicações instaladas, aceder contatos (nomes e números), ativar o encaminhamento de chamadas para um número específico, exibir notificações push que, se clicadas, iniciam uma aplicação específica, iniciam aplicações, excluem-nas, enviam mensagens de texto, abrem endereços no WebView, bloqueiam o ecrã e outras tarefas perigosas.
Além disso, este Trojan bancário é capaz de realizar 'ataques de sobreposição', que podem ser usados para enganar as vítimas, levando-as a fornecer informações confidenciais, como detalhes de cartão de crédito, dados bancários, credenciais de e-mail e outros detalhes confidenciais. Em suma, Cerberus pode operar como um ladrão de credenciais e agarrador de cartão de crédito.
As informações confidenciais são roubadas quando as vítimas inserem as suas credenciais de login ou detalhes do cartão de crédito em sobreposições que podem parecer sites legítimos de login e bancário. Os detalhes são então enviados ao servidor C2 do invasor.
A pesquisa demonstra que, no momento da pesquisa, o Cerberus pode ser usado para realizar ataques de sobreposição em várias aplicações bancárias francesas, americanas e uma japonesa, e em quinze aplicações não bancárias.
| Nome | malware bancário Cerberus |
| Tipo de Ameaça | malware Android, aplicação maliciosa, Trojan bancário. |
| Nomes de Detecção | Avast (Android:Cerberus-L [Bank]), AVG (Android:Cerberus-L [Bank]), ESET-NOD32 (Uma Variante De Android/TrojanDropper.Agent.EQH), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.bz), Lista Completa (VirusTotal) |
| Domínio Relacionado | coronavirus-informations[.]online, canada-alert-covid19[.]com |
| Sintomas | O dispositivo está a funcionar lentamente, as configurações do sistema são modificadas sem a permissão do utilizador, aplicações duvidosas aparecem, os dados e o uso da bateria aumentam significativamente, os navegadores redirecionam para sites fraudulentos, os anúncios intrusivos são exibidos. |
| Métodos de Distribuição | Anexos de e-mail infectados, anúncios online maliciosos, engenharia social, aplicações fraudulentas, sites fraudulentos. |
| Danos | Dados pessoais roubados (mensagens privadas, logins/palavras-passe, etc.), desempenho reduzido do dispositivo, bateria descarregada rapidamente, velocidade de ligação à Internet diminuída, grandes perdas de dados, perdas monetárias, identidade roubada (aplicações maliciosas podem abusar das aplicações de comunicação). |
| Remoção de malware (Android) | Para eliminar infecções por malware, os nossos pesquisadores de segurança recomendam fazer uma verificação no seu dispositivo Android com software anti-malware legítimo. Recomendamos Avast, Bitdefender, ESET ou Malwarebytes. |
Os criminosos cibernéticos por trás de Trojans bancários, como Cerberus, tentam roubar informações que poderiam ser usadas para fazer compras e transações fraudulentas, sequestrar várias contas, enviar mensagens de texto fraudulentas etc. Pessoas com dispositivos infectados pelo Cerberus podem tornar-se vítimas de roubo de identidade, sofrer perda monetária, experimenta problemas de privacidade online e sofre outros problemas sérios.
Como é que Cerberus se infiltrou no meu dispositivo?
A pesquisa demonstra que o malware bancário Cereberus foi recentemente promovido através de Flash Players falsos (os instaladores) e domínios relacionados a coronavírus (sites maliciosos como coronavirus-informations[.]online). Os criminosos cibernéticos comumente disfarçam programas maliciosos a usar nomes de aplicações legítimas, como Adobe Flash Player.
Normalmente, são promovidas em páginas não oficiais e enganosas (neste caso, em páginas com domínios relacionados ao coronavírus) e não estão associados às versões oficiais. Note que as páginas web enganosas tentam induzir os visitantes a usarem instaladores falsos do Adobe Flash Player (e outros), alegando que a versão instalada está desatualizada.
Como evitar a instalação de malware
O software e os ficheiros devem ser descarregues de sites oficiais e através de links diretos. Outros canais, como sites duvidosos não oficiais, descarregadores de terceiros, redes peer-to-peer, páginas de descarregamento de freeware, sites de hospedagem de ficheiros gratuitos, etc., podem proliferar programas maliciosos.
Instaladores falsos de terceiros costumam distribuir malware. Além disso, anexos e links de sites em e-mails irrelevantes recebidos de endereços suspeitos desconhecidos não devem ser abertos sem a certeza que é seguro fazê-lo. O software instalado deve ser atualizado e ativado (se necessário) com ferramentas/funções fornecidas pelos desenvolvedores oficiais.
Várias ferramentas de 'cracking' (programas de ativação não oficiais) podem instalar software malicioso. Além disso, é ilegal ativar programas licenciados com essas ferramentas. Mantenha os sistemas operativos seguros, examinando-os regularmente à procura de ameaças com software antivírus ou anti-spyware confiável.
Outro site fraudulento (canada-alert-covid19[.]com) usado para distribuir o Trojan Cerberus:
Mais um site fraudulento (chromedownload[.]club) usado para distribuir Cerberus, apresentando-o como uma atualização do Google Chrome:
Mais um site fraudulento (chromedownload[.]site) usado para distribuir Cerberus, apresentando-o como uma atualização do Google Chrome:
Screenshot de um site malicioso (bigbitwallet[.]com) a promover o Trojan bancário Cerberus:
Mais um site malicioso (cdph-ca[.]us) usado para distribuir o Trojan bancário Cerberus:
Outro site ("safety-guidelines[.]online") usado para promover o Trojan bancário Cerberus, apresentando-o como um atualizador do Adobe Flash Player:
A lista de aplicações visadas pelo malware Cerberus (pode expandir-se):
- Bank of America Mobile Banking
- Banque
- Banque Populaire
- Boursorama Banque
- Capital One® Mobile
- Chase Mobile
- Connect for Hotmail
- Fifth Third Mobile Banking
- Gmail
- imo free video calls and chat
- ING
- L'Appli Société Générale
- Ma Banque
- Mail (Android)
- Mes Comptes BNP Paribas
- Microsoft Outlook
- Play Market
- Snapchat
- Telegram
- U.S. Bank - Inspired by customers
- USAA Mobile
- Uber
- Viber
- Wells Fargo Mobile
- Yahoo Mail – Organized Email
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como iniciar o dispositivo Android no "Modo de Segurança"?
- Como verificar o uso da bateria de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Clique no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome:
Clique no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque ne clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para enviar notificações; no entanto, se visitar o mesmo site novamente, poderá pedir permissão novamente.
Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais permissão).
Repor o navegador Chrome:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até encontrar a aplicação "Chrome", selecione-o e toque na opção "Armazenamento".
Clique "GERIR ARMAZENAMENTO", e depois "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Portanto, todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login em todos os sites novamente.
Eliminar o histórico de navegação do navegador Firefox:
Clique no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador Firefox:
Visite o site que está a exibir notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Cadeado") e selecione "Editar configurações do site".
No pop-up aberto, ative a opção "Notificações" e toque em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até encontrar a aplicação "Firefox", selecione-o e toque na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação gravando em "ELIMINAR". Note que redefinir o navegador eliminará todos os dados armazenados. Portanto, todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login em todos os sites novamente.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", role para baixo até ver "Aplicações" e clique.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que o impedem de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", role para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínas são projetadas para minimizar o uso de dados tanto quanto possível. Portanto, o uso significativo de dados pode indicar a presença de uma aplicação maliciosa.
Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa dados significativos, embora nunca o use, recomendamos que desinstale-o imediatamente.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática para a segurança do dispositivo. Os fabricantes de dispositivos estão continuamente lançando vários patches de segurança e atualizações do Android para corrigir erros e bugs, que podem ser utilizados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável e, portanto, deve sempre garantir que o software do seu dispositivo esteja atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Em caso afirmativo, instale-as imediatamente. Também recomendamos que ative a opção "Descarregar atualizações automaticamente" - isso permitirá que o sistema o notifique quando uma atualização for lançada e/ou instale-a automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para os seus valores padrão e limpar o dispositivo em geral. Lembre-se também que todos os dados do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante.
Ou seja, o dispositivo será restaurado ao seu estado inicial/de fábrica.
Também pode restaurar as configurações básicas do sistema ou simplesmente as configurações de rede.
Vá para "Configurações", role para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa receber privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais aplicações têm estes privilégios e desativar as que não devem ter.
Vá para "Configurações", role para baixo até ver "Ecrã de bloqueio e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas para "DESATIVAR".
Excelente!
▼ Mostrar comentários