Como remover o MMRat do sistema operativo
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é o MMRat?
Desde finais de junho de 2023, um trojan bancário para Android denominado MMRat tem-se concentrado nos utilizadores móveis do Sudeste Asiático. Este trojan é capaz de capturar os dados introduzidos pelo utilizador e a actividade do ecrã, permitindo também o controlo remoto dos dispositivos visados através de diversos métodos. Isto permite que os invasores realizem fraudes bancárias diretamente no dispositivo da vítima.
Visão geral do malware MMRat
Tal como referido anteriormente, o MMRat possui a capacidade de capturar as entradas do utilizador, o conteúdo do ecrã e exercer controlo remoto sobre os dispositivos da vítima. A sua funcionalidade efectiva depende da utilização do serviço Android Accessibility e da API MediaProjection.
O MMRat finge por vezes ser uma aplicação governamental ou de encontros quando é aberta para enganar os utilizadores. Depois, mostra um site falso para enganar as pessoas. Depois, configura um receptor para escutar certos eventos do sistema, como quando o dispositivo é ligado ou desligado. Quando estes eventos acontecem, o malware faz algo discreto para se manter em funcionamento.
Assim que o serviço Accessibility é ativado, o MMRat liga-se a um servidor controlado pelo atacante. O MMRat utiliza várias portas no mesmo servidor para diferentes tarefas, tais como exfiltração de dados, streaming de vídeo e comando e controlo. Depois de receber a permissão de Acessibilidade, o MMRat pode utilizá-la indevidamente para conceder a si próprio permissões adicionais e efectuar alterações às definições.
O MMRat tem a capacidade de adquirir permissões automaticamente. Faz isso exibindo a caixa de diálogo do sistema e concedendo automaticamente os pedidos de permissão que chegam. Sabe-se que o malware se concentra na recolha de informações da lista de contactos da vítima e da lista de aplicações instaladas.
O MMRat também utiliza indevidamente o serviço de Acessibilidade para capturar o que os utilizadores escrevem e fazem, essencialmente registando as suas acções (keylogging). Esta informação pode ser usada para obter os detalhes de login da vítima e registar as suas acções para uso futuro no dispositivo.
Ao contrário de outro malware de registo de teclas que visa situações específicas, como a gravação de teclas durante a utilização de aplicações bancárias, o MMRat regista tudo o que os utilizadores fazem e envia-o para o servidor do invasor utilizando o canal C&C.
Para além do registo regular de teclas, o malware também se concentra no padrão do ecrã de bloqueio do dispositivo. Quando detecta que o utilizador está a desbloquear o dispositivo, captura o valor do padrão e envia-o para o servidor do invasor utilizando o seu canal C&C. Desta forma, o agente da ameaça pode aceder ao dispositivo da vítima mesmo que este esteja bloqueado.
Além disso, o MMRat pode capturar a exibição do ecrã do dispositivo da vítima e enviá-la para um servidor em tempo real. Para tal, utiliza a API MediaProjection para registar o que está a acontecer no ecrã da vítima.
O malware MMRat também explora o serviço de acessibilidade para assumir o controlo remoto do dispositivo da vítima, permitindo-lhe executar acções como gestos, desbloqueio de ecrãs e introdução de texto, entre outras funções. Os agentes de ameaças podem utilizar esta capacidade, juntamente com credenciais roubadas, para levar a cabo fraudes bancárias e outras actividades maliciosas.
Este malware é capaz de controlar remotamente o dispositivo mesmo quando as vítimas não estão a utilizar os dispositivos infectados. Por último, o malware MMRat pode remover-se do dispositivo quando recebe um comando específico do servidor C&C. Normalmente, isto acontece depois de ter cometido uma fraude bancária, o que torna mais difícil seguir as suas acções.
| Nome | trojan bancário MMRat |
| Tipo de Ameaça | Malware para Android, aplicação maliciosa de Trojan bancário. |
| Nomes de Detecção | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Agent.gHWAO), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.mj), ZoneAlarm by Check Point (HEUR:Trojan-Banker.AndroidOS.Agent.mj), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo está a funcionar lentamente, as definições do sistema são modificadas sem a permissão do utilizador, a utilização de dados e da bateria aumenta significativamente, transacções de dinheiro não autorizadas, outras actividades suspeitas. |
| Métodos de distribuição | Sites de phishing que se fazem passar por lojas de aplicações legítimas, aplicações falsas (por exemplo, aplicações de encontros ou governamentais). |
| Danos | Roubo de identidade, acesso não autorizado a contas bancárias, repercussões financeiras, violações de privacidade e muito mais. |
| Remoção do Malware (Android) | Para eliminar possíveis infecções por malware, verifique o seu dispositivo móvel com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Conclusão
Em suma, o malware MMRat representa uma ameaça significativa devido às suas capacidades multifacetadas, que vão desde a captura de entradas do utilizador e do conteúdo do ecrã até ao controlo remoto de dispositivos através do serviço Accessibility e da API MediaProjection.
A sua capacidade de funcionar de forma dissimulada, disfarçando-se de aplicações legítimas e concedendo permissões automaticamente, aumenta o seu potencial para causar estragos. O foco do malware na captura de padrões do ecrã de bloqueio, no conteúdo do ecrã em tempo real e na sua funcionalidade de auto-exclusão sublinha o seu design sofisticado.
Outros exemplos de malware que visam os utilizadores do Android são CraxsRAT, CherryBlos e CriminalBot.
Como é que o MMRat se infiltrou no meu dispositivo?
O MMRat é normalmente adquirido a partir de sites de phishing que se fazem passar por lojas de aplicações oficiais. Estes sites, que diferem principalmente na linguagem, sugerem grupos de vítimas específicas. O método de distribuição de hiperligações de phishing para os dispositivos das vítimas permanece incerto.
Os dispositivos são infectados quando os utilizadores descarregam e instalam inadvertidamente o MMRat e dão ao malware as permissões necessárias. Depois disso, o MMRat liga-se a um servidor remoto e envia dados importantes, como o estado do dispositivo, informações pessoais e dados de registo de teclas.
Como evitar a instalação de software malicioso?
Transfira apenas aplicações de fontes fidedignas, como a Google Play Store oficial, uma vez que esta possui medidas de segurança para minimizar o risco de aplicações maliciosas. Antes de transferir uma aplicação, leia as opiniões e classificações dos utilizadores. Actualize regularmente o sistema operativo e as aplicações do seu dispositivo para beneficiar das últimas correcções de segurança mais recentes.
Não confie em anúncios, hiperligações e vários pop-ups em sites obscuros. Além disso, tenha cuidado ao conceder permissões a aplicações; reveja as permissões cuidadosamente e evite conceder acesso desnecessário às suas informações pessoais. Por fim, considere a possibilidade de utilizar aplicações antivírus ou de segurança respeitáveis que possam procurar e ajudar a evitar infecções por malware no seu dispositivo.
Sites de phishing que imitam lojas de aplicações legítimas:
Malware MMRat a imitar a aplicação PEA Smart Plus:
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Web Chrome?
- Como repor o navegador Web Chrome?
- Como eliminar o histórico de navegação do browser Firefox?
- Como desativar as notificações do navegador no navegador Web Firefox?
- Como reiniciar o navegador web Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como arrancar o dispositivo Android no "Modo de segurança"?
- Como verificar a utilização da bateria de várias aplicações?
- Como verificar a utilização de dados de várias aplicações?
- Como instalar as actualizações de software mais recentes?
- Como repor o sistema no seu estado predefinido?
- Como desativar as aplicações que têm privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - ela permitirá que o sistema notifique quando uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQ)
O meu dispositivo está infetado com malware MMRat, devo formatar o meu dispositivo de armazenamento para o eliminar?
Se o seu dispositivo estiver infectado com o malware MMRat, a formatação do dispositivo de armazenamento pode ser uma solução. No entanto, isso irá apagar todos os dados no dispositivo. Antes de formatar, pode tentar utilizar um software antivírus de boa reputação, como o Combo Cleaner, para remover o malware sem formatar.
Quais são os principais problemas que o malware pode causar?
O malware pode comprometer informações pessoais e financeiras sensíveis, resultando em roubo de identidade e perdas financeiras. Além disso, pode perturbar as operações normais do computador, causando falhas no sistema, lentidão e corrupção de dados. O malware sofisticado, como o ransomware, pode bloquear os ficheiros dos utilizadores, exigindo um pagamento pela sua libertação, o que resulta em perda de dados, perturbação do negócio e potencial extorsão financeira.
Qual é o objetivo do malware MMRat?
O objetivo do malware MMRat é levar a cabo várias actividades maliciosas em dispositivos Android. Foi concebido para capturar as entradas do utilizador, o conteúdo do ecrã e os padrões do ecrã de bloqueio, concedendo controlo remoto sobre os dispositivos das vítimas. Este controlo permite que os operadores do malware realizem acções como acesso não autorizado, fraude bancária, potencial roubo de identidade, entre outras.
Como é que o malware MMRat se infiltrou no meu computador?
O malware MMRat infiltra-se normalmente nos dispositivos através de sites de phishing disfarçados de lojas de aplicações legítimas. Os utilizadores descarregam e instalam, sem saber, malware a partir destes sites fraudulentos.
O Combo Cleaner protege-me de malware?
Sim, o Combo Cleaner consegue encontrar e remover a maioria dos tipos de malware. No entanto, algum malware sorrateiro pode ser difícil de encontrar, por isso é melhor fazer uma verificação completa de todo o seu sistema para garantir que apanha tudo.
Excelente!
▼ Mostrar comentários