Remover o malware AhRat do seu dispositivo Android
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é AhRat?
O AhRat é um Trojan de Acesso Remoto (TAR) que se concentra na infiltração de dispositivos Android. A sua distribuição ocorreu através de uma aplicação de gravação de ecrã trojanizada, que foi disfarçada e oferecida para descarregamento na loja Google Play.
A versão original da aplicação que foi carregada na loja não possuía qualquer característica maliciosa, mas, mais tarde, os agentes de ameaças manipularam a sua funcionalidade e introduziram componentes maliciosos na aplicação.
Visão geral de AhRat
O AhRat tem por base outro TAR denominado AhMyth, e é evidente que existem pelo menos duas versões do código malicioso AhRat. A aplicação trojanizada que foi usada para distribuir o AhRat designa-se por iRecorder - Screen Recorder.
Para além de oferecer capacidades genuínas de gravação de ecrã, a aplicação maliciosa iRecorder tem a capacidade de captar áudio do microfone do dispositivo e transmiti-lo para o servidor de comando e controlo (C&C) do invasor.
Além disso, a aplicação pode extrair e transferir ficheiros de vários formatos, incluindo páginas web guardadas, imagens, áudio, vídeo e ficheiros de documentos, bem como arquivos comprimidos contendo vários ficheiros do dispositivo comprometido.
As actividades maliciosas específicas da aplicação, como a captação de gravações de microfone e o roubo de ficheiros com extensões específicas, indicam fortemente o seu envolvimento numa campanha de espionagem. Sabe-se que a aplicação trojanizada que contém o código AhRat foi removida da Google Play Store. No entanto, pode estar a ser carregada em páginas e lojas não oficiais.
Mais sobre AhRat
Uma vez instalado, o AhRat inicia a comunicação com o servidor de comando e controlo (C&C), transmitindo detalhes essenciais do dispositivo e recuperando chaves de encriptação juntamente com um ficheiro de configuração encriptado.
Após o contacto inicial, o AhRat envia pedidos regulares ao servidor C&C de 15 em 15 minutos, procurando um ficheiro de configuração actualizado. Este ficheiro inclui vários comandos e detalhes de configuração a implementar no dispositivo visado, como o directório para extrair dados do utilizador, tipos de ficheiros específicos a extrair, um limite de tamanho de ficheiro, a duração da gravação do microfone e o intervalo entre gravações.
Este intervalo de 15 minutos coincide com a recepção do novo ficheiro de configuração do servidor C&C. O ficheiro de configuração desencriptado engloba um conjunto maior de comandos do que o que o AhRat está actualmente programado para executar, sugerindo que certas funcionalidades maliciosas não foram integradas.
Isto significa que o AhRat pode ser uma versão simplificada semelhante ao seu lançamento inicial, que continha apenas código malicioso inalterado do AhMyth RAT. No entanto, o AhRat continua a ser capaz de extrair ficheiros do dispositivo e gravar áudio através do microfone do dispositivo.
| Nome | Trojan de acesso remoto AhRat |
| Tipo de Ameaça | Malware Android, aplicação maliciosa, aplicação indesejada. |
| Nomes de Detecção | Avast-Mobile (Android:Evo-gen [Trj]), Avira (ANDROID/SpyAgent..zfxiz), ESET-NOD32 (Android/Spy.AhRat.A), Kaspersky (HEUR:Backdoor.AndroidOS.Ahmyth.u), Lista Completa (VirusTotal) |
| Sintomas Possíveis | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, o uso de dados e bateria aumenta significativamente, os navegadores redirecionam para sites questionáveis, os anúncios intrusivos são exibidos. |
| Métodos de Distribuição | Versão trojanizada da aplicação iRecorder - Gravador de ecrã |
| Danos | Roubo de informações pessoais, diminuição do desempenho do dispositivo, grandes perdas de dados, perdas monetárias, roubo de identidade e muito mais. |
| Remoção de malware (Android) | Para eliminar infecções por malware, os nossos pesquisadores de segurança recomendam verificar o seu dispositivo Android com um software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET ou Malwarebytes. |
Conclusão
O AhRat pode causar danos significativos às suas vítimas. Ao exfiltrar ficheiros do dispositivo comprometido, pode resultar na perda ou divulgação não autorizada de dados sensíveis, levando potencialmente a violações de privacidade e roubo de identidade. Além disso, a capacidade de gravar áudio através do microfone do dispositivo pode comprometer conversas pessoais, invadindo ainda mais a privacidade da vítima.
Uma vez que o AhRat tem por base o AhMyth, os agentes de ameaças podem utilizá-lo para executar actividades maliciosas adicionais.
Como é que AhRat se infiltrou no meu dispositivo?
O AhRat foi distribuído através de uma aplicação trojanizada chamada iRecorder - Screen Recorder, que estava disponível na Google Play Store. A aplicação foi inicialmente carregada para a loja sem qualquer funcionalidade maliciosa em Setembro de 2021. No entanto, parece que a funcionalidade maliciosa foi adicionada numa fase posterior numa versão subsequente do iRecorder - Screen Recorder.
A versão limpa do iRecorder foi modificada pela incorporação de código malicioso derivado do AhMyth RAT de código aberto. Assim, os utilizadores que descarregaram e instalaram a aplicação trojanizada infectaram inadvertidamente os seus dispositivos com o AhRat, que se baseia no malware acima mencionado.
Como evitar a instalação de malware?
Certifique-se de que descarrega aplicações apenas de fontes respeitáveis, como o Google Play Store oficial e sites de confiança. Dê prioridade à revisão das permissões das aplicações e forneça apenas as permissões necessárias. Mantenha o seu dispositivo Android e as aplicações actualizadas para beneficiar dos patches de segurança mais recentes. Active o Play Protect como uma camada adicional de segurança.
Tenha cuidado com as aplicações que não têm avaliações e evite interagir com anúncios em sites suspeitos.
iRecorder – App Screen Recorder que contém um código malicioso:
Permissões pedidas pela aplicação iRecorder - Screen Recorder:
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android em "Modo de segurança"?
- Como verificar o uso de dados de várias aplicações?
- Como verificar o uso de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações com privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - ela permitirá que o sistema notifique quando uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQ)
Quais são os maiores problemas que o malware pode causar?
O malware pode causar problemas significativos tanto para indivíduos como para organizações. Pode comprometer a segurança e a privacidade das informações pessoais, conduzindo ao roubo de identidade e a perdas financeiras. Além disso, o malware pode perturbar as operações normais, provocando falhas no sistema, tornando os dispositivos mais lentos ou completamente inutilizáveis. Além disso, certos tipos de malware, como o ransomware, podem encriptar ficheiros e exigir pagamento para a sua libertação, causando perda de dados e potenciais prejuízos financeiros.
Qual é o objetivo do malware AhRat?
O objectivo do malware AhRat é obter acesso remoto não autorizado a dispositivos Android e realizar actividades maliciosas. Estas actividades podem incluir o roubo de informações sensíveis, tais como dados e ficheiros pessoais, a gravação de áudio através do microfone do dispositivo e, potencialmente, a realização de acções relacionadas com espionagem.
Como é que o malware AhRat se infiltrou no meu dispositivo?
O AhRat foi distribuído através de uma aplicação trojanizada de gravação de ecrã chamada iRecorder - Screen Recorder, que foi disponibilizada na Google Play Store. A aplicação trojanizada foi inicialmente carregada sem qualquer funcionalidade maliciosa, mas foi posteriormente modificada por agentes de ameaças para incluir o malware AhRat.
O Combo Cleaner vai proteger-me contra o malware?
O Combo Cleaner tem a capacidade de detectar e remover uma vasta gama de malware conhecido. No entanto, é importante saber que o malware sofisticado pode muitas vezes ocultar-se no interior do sistema. Portanto, é altamente recomendável executar uma verificação abrangente do sistema para garantir a detecção e remoção completa de qualquer potencial malware.
Excelente!
▼ Mostrar comentários