Como eliminar o TrickMo de dispositivos Android infectados
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é o TrickMo?
O Trojan bancário TrickMo, inicialmente detetado em 2019, ressurgiu com funcionalidades melhoradas em 2023. A versão mais recente usa o JsonPacker para ocultar o código e introduz 45 comandos, incluindo roubo de conteúdo de ecrã e ataques de sobreposição para recolha de credenciais. As vítimas devem remover imediatamente este malware dos dispositivos Android infectados.
Ataques de sobreposição
À semelhança de vários outros Trojans bancários conhecidos, o TrickMo utiliza o Serviço de Acessibilidade para conduzir as suas actividades maliciosas. Após a instalação, o malware pede aos utilizadores que autorizem permissões de Acessibilidade, que explora para obter autonomamente permissões adicionais e executar actividades associadas ao Trojan bancário.
O TrickMo funciona de forma discreta, estabelecendo uma ligação com o servidor C&C em segundo plano. Transmite diversos dados, tais como uma lista de aplicações instaladas, localidade, informações do dispositivo, estado de acessibilidade, estado de permissão e outros detalhes pertinentes ao TrickMo.
O malware começa por recolher os nomes dos pacotes das aplicações instaladas para identificar o alvo. Uma vez identificado o alvo, o malware recebe um comando juntamente com o ID do pacote e um URL de sobreposição. Subsequentemente, o malware cria um ficheiro HTML no dispositivo infetado utilizando o ID do pacote, guardando neste ficheiro o conteúdo do URL de sobreposição especificado.
O malware emprega ataques de sobreposição para enganar os utilizadores de aplicações financeiras específicas e relacionadas com criptomoedas. Ao visar aplicações como PayPal, MetaMask e vários serviços bancários, o malware gera ecrãs falsos, ou sobreposições, que imitam as páginas de início de sessão destas aplicações legítimas.
Assim que um utilizador abre uma destas aplicações, o malware ativa-se e exibe a sua sobreposição fraudulenta, capturando qualquer informação sensível introduzida pelo utilizador, como nomes de utilizador e palavras-passe. Estes dados roubados são depois transmitidos aos cibercriminosos que estão por detrás do malware.
A lista de aplicações visadas abrange uma vasta gama, incluindo carteiras de criptomoedas como MetaMask e Blockchain.com, serviços financeiros como PayPal e Skrill, e numerosas aplicações bancárias como HSBC, Lloyds Bank e ING. Além disso, o TrickMo tem como alvo o Facebook, Netflix, AliExpress, Uber, Gmail e outros serviços.
Funcionalidade do dispositivo de clique
Além disso, o TrickMo tem um ficheiro denominado clicker.json no seu pacote. Este ficheiro lista os nomes das aplicações com as quais pode interagir, juntamente com regras específicas sobre as acções a executar. Utilizando o Serviço de Acessibilidade, o TrickMo segue as instruções do ficheiro clicker.json. Pode executar secretamente actividades no dispositivo, como clicar em botões ou executar acções em aplicações, sem que o utilizador saiba.
Gravador de ecrã
O TrickMo atualizado observa agora quais as aplicações que estão a ser executadas, regista o que o utilizador faz e guarda esta informação num ficheiro de texto. Estes dados recolhidos são depois comprimidos num ficheiro zip e enviados para os malfeitores que controlam o malware.
Além disso, se o malware receber um comando específico juntamente com determinados nomes de aplicações, inclui essas aplicações numa lista para gravação. Depois, liga a função de gravação, fazendo com que o malware comece a capturar tudo o que o utilizador faz nessas aplicações escolhidas.
Comandos
O TrickMo exibe uma grande variedade de capacidades através dos diversos comandos que pode receber. O malware pode executar furtivamente acções como tirar screenshots, recolher mensagens SMS e enviar mensagens de texto não autorizadas a partir do dispositivo infetado.
Além disso, o TrickMo pode manipular as definições do dispositivo, desativar notificações e simular interacções do utilizador premindo botões, desbloqueando o ecrã ou abrindo várias definições de aplicações. Além disso, o Trojan é capaz de recolher informação sensível, recolhendo registos de chamadas, capturando fotografias e vídeos e até iniciando chamadas de serviço USSD.
Além disso, o TrickMo pode atualizar-se, desinstalar-se, modificar os seus próprios ficheiros de configuração e muito mais.
| Nome | malware TrickMo Android |
| Tipo de Ameaça | Malware para Android, aplicação maliciosa. |
| Nomes de Detecção | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.Banker.WJ), ESET-NOD32 (Uma Variante De Android/TrojanDropper.Agent.LWC), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.hs), Lista Completa (VirusTotal) |
| Sintomas | O dispositivo fica lento, as definições do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, a utilização de dados e da bateria aumenta significativamente, os navegadores são redireccionados para sites questionáveis, são apresentados anúncios intrusivos. |
| Métodos de Distribuição | Aplicações falsas, anexos de email infectados, anúncios online maliciosos, engenharia social, sites fraudulentos. |
| Danos | Roubo de informações pessoais (mensagens privadas, logins/palavras-passe, etc.), diminuição do desempenho do dispositivo, drenagem rápida da bateria, diminuição da velocidade da Internet, grandes perdas de dados, perdas monetárias, roubo de identidade. |
| Remoção do Malware (Android) | Para eliminar possíveis infecções por malware, verifique o seu dispositivo móvel com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Conclusão
Em suma, o TrickMo representa um Trojan bancário altamente adaptável e sofisticado, com diversas capacidades. A sua evolução ao longo do tempo, juntamente com a capacidade de receber e executar inúmeros comandos, sublinha a sua resiliência e os seus esforços contínuos para se manter à frente das medidas de segurança.
Desde ataques de sobreposição que visam informações sensíveis até à manipulação das definições dos dispositivos e à participação em actividades relacionadas com criptomoedas, a TrickMo representa uma ameaça persistente e multifacetada, sublinhando a importância de uma vigilância contínua e de medidas avançadas de cibersegurança para se proteger contra os seus esforços maliciosos.
Como é que o TrickMo se infiltrou no meu computador?
Os criminosos cibernéticos têm sido observados a distribuir o TrickMo disfarçando-o como uma aplicação gratuita de streaming de filmes chamada OnStream e um navegador web amplamente utilizado, o Google Chrome. No entanto, o método exato de distribuição é indefinido.
O TrickMo pode estar disfarçado de aplicações legítimas em lojas de aplicações de terceiros. Os utilizadores desavisados que descarregam e instalam estas aplicações falsas podem, sem saber, infetar os seus dispositivos com o malware. Além disso, os criminosos informáticos podem criar sites fraudulentos ou comprometer os legítimos para distribuir TrickMo. Os utilizadores podem descarregar inadvertidamente o malware quando visitam esses sites ou clicam em conteúdo malicioso.
Além disso, a TrickMo pode ser disseminada através de emails ou mensagens (SMS) contendo anexos ou hiperligações maliciosas e vulnerabilidades em software ou sistemas operativos.
Como evitar a instalação de software malicioso?
É aconselhável instalar exclusivamente software de lojas de aplicações autorizadas, como a Play Store ou a iOS App Store, para garantir a legitimidade e a segurança das aplicações. A utilização de software antivírus de boa reputação também é altamente recomendada para os dispositivos. Além disso, os utilizadores devem ter cuidado ao abrir links recebidos por SMS ou emails nos seus dispositivos móveis.
Para os utilizadores do Android, a ativação do Google Play Protect é crucial para uma camada adicional de segurança. Além disso, os utilizadores são aconselhados a examinar as permissões concedidas às aplicações e a atualizar regularmente os seus dispositivos, sistemas operativos e aplicações para mitigar potenciais vulnerabilidades.
Exemplos de páginas de injeção de sobreposição HTML criadas para diversas aplicações-alvo: (fonte: cyble[.]com):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador no navegador Web Chrome?
- Como repor o navegador Web Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador no navegador web Firefox?
- Como reiniciar o navegador web Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como arrancar o dispositivo Android no "Modo de segurança"?
- Como verificar a utilização da bateria de várias aplicações?
- Como verificar a utilização de dados de várias aplicações?
- Como instalar as actualizações de software mais recentes?
- Como repor o sistema no seu estado predefinido?
- Como desativar as aplicações que têm privilégios de administrador?
Eliminar o histórico de navegação do navegador Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Chrome
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Configurações" no menu suspenso aberto.
Role para baixo até ver a opção "Configurações do site" e toque nela. Role para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que exibem notificações do navegador, toque neles e clique em "Limpar e redefinir". Isso vai remover as permissões concedidas a estes sites para exibir notificações. No entanto, depois de visitar o mesmo site novamente, pode pedir permissão novamente. Pode escolher se deseja conceder essas permissões ou não (se decidir recusar, o site irá para a seção "Bloqueado" e não pedirá mais a sua permissão).
Repor o navegador Chrome:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Chrome", selecione-a e clique na opção "Armazenamento".
Clique em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação gravando em "OK". Note que redefinir o navegador eliminará todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Eliminar o histórico de navegação do navegador Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.
Role para baixo até ver "Limpar dados privados" e clique. Selecione os tipos de dados que deseja remover e clique em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador web Firefox:
Visite o site que está a fornecer notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Bloqueio") e seleccione "Editar Configurações do Site".
No pop-up aberto, escolha a opção "Notificações" e clique em "LIMPAR".
Repor o navegador Firefox:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Deslize para baixo até encontrar a aplicação "Firefox", selecione-a e clique na opção "Armazenamento".
Clique em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que a reposição do navegador vai eliminar todos os dados armazenados. Isso significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão excluídos. Também terá que fazer login novamente em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá para "Configurações", deslize para baixo até ver "Aplicações" e clique nela.
Role para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e clique em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, uma mensagem de erro será exibida), deve tentar usar o "Modo de segurança".
Iniciar o dispositivo Android no "Modo de Segurança":
O "Modo de segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa maneira de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de fazer isso quando o dispositivo está a funcionar "normalmente").
Prima o botão “Ligar” e segure-o até ver o ecrã “Desligar”. Clique no ícone "Desligar" e segure-o. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá executá-la reiniciando o dispositivo.
Verificar o uso da bateria de várias aplicações:
Vá para "Configurações", deslize para baixo até ver "Manutenção do dispositivo" e clique.
Clique em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são projetadas para usar o mínimo de energia possível, para fornecer a melhor experiência do utilizador e economizar energia. Portanto, o alto uso da bateria pode indicar que a aplicação é maliciosa.
Verificar o uso de dados de várias aplicações:
Vá para "Configurações", role para baixo até ver "Ligações" e clique.
Role para baixo até ver "Uso de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínos são projetados para minimizar o uso de dados tanto quanto possível. Isso significa que o grande uso de dados pode indicar a presença de aplicações maliciosas. Note que algumas aplicações maliciosas podem ser projetadas para operar quando o dispositivo está ligado apenas a uma rede sem fios. Por este motivo, deve verificar o uso de dados móveis e Wi-Fi.
Se encontrar uma aplicação que usa muitos dados, mesmo que nunca a use, recomendamos que a desinstale o mais rápido possível.
Instalar as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata de segurança do dispositivo. Os fabricantes de dispositivos estão lançando continuamente vários patches de segurança e atualizações do Android para corrigir erros e bugs que podem ser abusados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve sempre ter certeza que o software do seu dispositivo está atualizado.
Vá para "Configurações", role para baixo até ver "Atualização de software" e clique.
Clique em "Descarregar atualizações manualmente" e verifique se há atualizações disponíveis. Se sim, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - ela permitirá que o sistema notifique quando uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma "redefinição de fábrica" é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão excluídos, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para "Configurações", deslize para baixo até ver "Sobre o telefone" e clique.
Role para baixo até ver "Redefinir" e clique. Agora escolha a ação que deseja executar
: "Redefinir configurações" - restaura todas as configurações do sistema para o padrão
; "Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão
; "Redifinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar as aplicações que têm privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve sempre verificar quais aplicações têm estes privilégios e desativar as que não devem.
Vá para "Configurações", deslize para baixo até ver "Bloquear ecrã e segurança" e clique.
Role para baixo até ver "Outras configurações de segurança", toque e em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, clique nelas e depois clique em "DESATIVAR".
Perguntas Frequentes (FAQs)
O meu dispositivo está infetado com o malware TrickMo, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação do seu dispositivo de armazenamento irá remover o malware TrickMo, mas recomenda-se a utilização de um software de segurança respeitável como o Combo Cleaner para garantir um processo de remoção seguro e completo. A formatação deve ser considerada como um último recurso, uma vez que irá apagar todos os dados no dispositivo.
Quais são os principais problemas que o malware pode causar?
O malware pode levar ao roubo de dados, perdas financeiras, danos no sistema, perda de dados e comprometer a cibersegurança geral.
Qual é o objetivo do malware TrickMo?
O principal objetivo do malware TrickMo é envolver-se em fraudes financeiras, roubando informações bancárias sensíveis e credenciais dos utilizadores. Isto inclui o emprego de técnicas como ataques de sobreposição, roubo de conteúdo de ecrã e funcionalidades avançadas para comprometer aplicações específicas e recolher dados financeiros valiosos para actividades ilícitas.
Como é que o TrickMo se infiltrou no meu computador?
O método específico de infiltração do TrickMo pode variar, mas as vias comuns incluem emails, mensagens (SMS), sites maliciosos, plataformas de redes sociais, lojas de aplicações de terceiros ou a exploração de vulnerabilidades no software.
O Combo Cleaner protege-me de malware?
O Combo Cleaner é um antivírus respeitável e uma ferramenta de segurança concebida para proteger contra vários tipos de malware, incluindo vírus, adware e ransomware. Irá analisar o seu dispositivo e remover o malware. É aconselhável executar uma verificação completa do sistema para detetar malware que possa estar oculto no sistema.
Excelente!
▼ Mostrar comentários