Como remover o trojan RedHook do seu dispositivo Android
TrojanTambém conhecido como: RedHook malware
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o RedHook?
O RedHook é um trojan bancário que tem como alvo os sistemas operacionais Android. Este programa malicioso existe pelo menos desde o outono de 2024 e tem várias versões. Há algumas evidências que sugerem que os autores desta ameaça são falantes de chinês.
Até o momento da redação deste artigo, suas campanhas recentes têm sido observadas visando usuários no Vietnã por meio de páginas da web falsas que imitam sites financeiros e governamentais legítimos.
Visão geral do malware RedHook
O RedHook é um trojan bancário e, como a classificação indica, procura roubar dados financeiros de dispositivos. No entanto, este programa também possui recursos de RAT (Remote Access Trojan, ou Trojan de Acesso Remoto) e várias funcionalidades para roubar informações. Existem várias variantes deste trojan, que se infiltra nos dispositivos sob o disfarce de aplicativos genuínos ou que parecem legítimos.
No momento da redação deste artigo, uma das campanhas mais recentes espalha o RedHook como o aplicativo bancário State Bank of Vietnam. Após a infiltração, o malware procura obter várias permissões. Primeiro, ele apresenta à vítima uma solicitação para que ela insira as credenciais de login da sua conta bancária. Em seguida, o aplicativo malicioso solicita acesso a ficheiros de mídia e, então, a vítima é solicitada a habilitar os Serviços de Acessibilidade do Android e conceder permissões de sobreposição.
Uma vez concedidas, o RedHook estabelece comunicação com o seu servidor C&C (Comando e Controlo). O trojan começa a recolher dados relevantes, incluindo a marca do smartphone, o número do dispositivo, a orientação do ecrã, o tipo de bloqueio do ecrã, etc. Como mencionado anteriormente, o RedHook abusa dos Serviços de Acessibilidade – um comportamento padrão para malware Android.
Os Serviços de Acessibilidade do Android foram concebidos para fornecer ajuda adicional com a interação do dispositivo aos utilizadores que precisam dela; as suas capacidades são extensas e incluem a leitura do ecrã do dispositivo, a simulação do ecrã tátil (por exemplo, realizando toques curtos/longos, deslizes, etc.), a interação com o teclado e assim por diante. Assim, ao abusar desses serviços, o software malicioso obtém acesso a todas as suas funcionalidades.
Para obter dados bancários, financeiros e outros dados privados, o RedHook recorre a ataques de sobreposição, keylogging (gravação de teclas) e gravação de ecrã. Essencialmente, os ataques de sobreposição envolvem phishing que imitam telas/páginas de aplicativos genuínos. Assim, quando a vítima abre um aplicativo de seu interesse, ele é sobreposto por uma tela de phishing idêntica, imitando uma página de registro, login ou outra página que registra as informações fornecidas.
O RedHook tem sido observado a utilizar o seguinte processo para extrair dados confidenciais. Primeiro, a vítima é solicitada a enviar uma foto do seu documento de identificação para fins de verificação. Em segundo lugar, o trojan apresenta um formulário solicitando uma variedade de dados privados, como o nome completo da vítima, data de nascimento, endereço, nome do banco, número da conta, etc. Por último, a vítima é solicitada a fornecer a sua senha de 4 dígitos e o código 2FA (Autenticação de dois fatores) de 6 dígitos. O malware envia imediatamente as informações inseridas para o seu servidor C&C.
No entanto, apesar das campanhas ativas do RedHook no Vietname, estas telas estavam em indonésio, o que sugere que o trojan pode estar em desenvolvimento e que a personalização para a região ainda está em andamento.
O malware também funciona como um RAT, ou seja, pode estabelecer acesso/controlo remoto sobre dispositivos infetados. As suas capacidades RAT são facilitadas através do WebSocket. Ele pode executar 34 comandos distintos em sistemas comprometidos.
Os comandos selecionados de destaque incluem: obter a lista de aplicativos instalados, desinstalar aplicativos, encerrar aplicativos em execução (não implementado na versão pesquisada), solicitar permissão para instalar um aplicativo, baixar/instalar ficheiro APK, bloquear/desbloquear o smartphone, reiniciar o sistema operativo, recolher dados sobre/na tela ativa, exibir a tela inicial/tela recente, tirar fotos através das câmaras do dispositivo, obter listas de contactos, recolher SMS, copiar texto para a área de transferência, etc.
O RedHook pode usar vários métodos para infiltrar conteúdo adicional nos sistemas, por isso pode ser usado para causar infeções em cadeia. Embora, em teoria, o malware possa ser usado para causar praticamente qualquer tipo de infeção (por exemplo, trojan, ransomware, etc.), na prática, ele provavelmente opera dentro de certas especificações/limitações.
É importante mencionar que os criadores de malware frequentemente aprimoram seus softwares e metodologias. Portanto, futuras iterações do RedHook podem ter funcionalidades adicionais ou diferentes.
Em resumo, a presença do trojan RedHook nos dispositivos pode levar a múltiplas infeções do sistema, graves problemas de privacidade, perdas financeiras e roubo de identidade.
| Nome | RedHook malware |
| Tipo de ameaça | Malware para Android, aplicação maliciosa, trojan bancário, trojan de acesso remoto, trojan. |
| Nomes de detecção | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware. FakeApp.ABZ), ESET-NOD32 (Android/Spy.Banker.DUW), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Bray.s), Lista completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aplicativos questionáveis aparecem, o uso de dados e bateria aumenta significativamente. |
| Métodos de distribuição | Anexos de e-mail infetados, anúncios online maliciosos, engenharia social, aplicações enganosas, sites fraudulentos. |
| Danos | Roubo de informações pessoais (mensagens privadas, logins/senhas, etc.), diminuição do desempenho do dispositivo, descarga rápida da bateria, diminuição da velocidade da Internet, enormes perdas de dados, perdas monetárias, roubo de identidade (aplicativos maliciosos podem abusar de aplicativos de comunicação). |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Exemplos de trojans bancários
PhantomCard, DoubleTrouble, TsarBot e Marcher são apenas alguns dos nossos artigos sobre trojans bancários específicos para Android. O termo ”trojan" é incrivelmente amplo e abrange malware com uma variedade de capacidades, que vão desde a ativação de acesso remoto até ao roubo de dados.
No entanto, independentemente de como um software malicioso funciona, a sua presença num dispositivo ameaça a integridade e a segurança do utilizador. Portanto, todas as ameaças devem ser removidas imediatamente após a deteção.
Como é que o RedHook se infiltrou no meu dispositivo?
Conforme mencionado na introdução, o RedHook foi distribuído através de sites maliciosos que se fazem passar por sites legítimos relacionados com finanças e governo. Alguns dos disfarces/associações conhecidos usados pelas páginas da web incluem o Banco Estatal do Vietname, o site oficial do governo vietnamita, o Banco Comercial Saigon Thuong Tin (Sacombank), Polícia de Trânsito do Vietname (Cảnh sát giao thông – CSGT), Central Power Corporation e assim por diante.
As páginas fraudulentas induzem as vítimas a descarregar/instalar este trojan bancário sob o pretexto de serem aplicações genuínas (ou que parecem genuínas). No entanto, o RedHook pode assumir diferentes disfarces ou ser disseminado utilizando outras técnicas.
Vale a pena notar que os cibercriminosos que utilizam este trojan têm uma vasta experiência com esquemas de engenharia social, uma vez que já os utilizavam antes de passarem para o malware bancário. Geralmente, o malware é disseminado recorrendo a táticas de phishing e engenharia social. O software malicioso é normalmente apresentado como ou incluído em programas/meios de comunicação comuns.
Os métodos de distribuição de malware mais comuns incluem: golpes online, downloads drive-by (furtivos/enganosos), fontes de download não confiáveis (por exemplo, sites de freeware e hospedagem de arquivos gratuitos, redes de compartilhamento P2P, lojas de aplicativos de terceiros, etc.), spam (por exemplo, e-mails, DMs/PMs, SMS, etc.), malvertising, conteúdo pirata, ferramentas de ativação ilegal de software (“cracking”) e atualizações falsas.
Além disso, alguns programas maliciosos podem se espalhar por redes locais e dispositivos de armazenamento removíveis (por exemplo, unidades flash USB, discos rígidos externos, etc.).
Como evitar a instalação de malware?
Recomendamos vivamente que se mantenha vigilante ao navegar, uma vez que a Internet está repleta de conteúdos fraudulentos e maliciosos. Os e-mails e outras mensagens recebidas devem ser abordados com cautela. Os anexos ou links encontrados em comunicações suspeitas/irrelevantes não devem ser abertos, pois podem ser infecciosos.
Outra recomendação é baixar apenas software bem pesquisado de canais oficiais e verificados. Além disso, todos os programas devem ser ativados e atualizados usando funções/ferramentas fornecidas por desenvolvedores legítimos, pois aqueles adquiridos de terceiros podem conter malware.
Devemos enfatizar a importância de ter um antivírus confiável instalado e mantido atualizado. O software de segurança deve ser usado para realizar varreduras regulares do sistema e remover ameaças/problemas detectados.
Capturas de ecrã do trojan RedHook a solicitar permissões (fonte da imagem – blog Cyble):
Captura de ecrã de um site falso do Banco Estatal do Vietname que espalha o RedHook (fonte da imagem – blog Cyble):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Web Chrome?
- Como desativar as notificações do navegador Web Chrome?
- Como reiniciar o navegador Web Chrome?
- Como eliminar o histórico de navegação do browser Firefox?
- Como desativar as notificações do navegador Firefox?
- Como reiniciar o browser Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como arrancar o dispositivo Android no "Modo de segurança"?
- Como verificar a utilização da bateria de várias aplicações?
- Como verificar a utilização de dados de várias aplicações?
- Como instalar as actualizações de software mais recentes?
- Como repor o sistema no seu estado predefinido?
- Como desativar as aplicações que têm privilégios de administrador?
Eliminar o histórico de navegação do navegador Web Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu pendente aberto.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no navegador Web Chrome:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Definições" no menu pendente aberto.
Desloque-se para baixo até ver a opção "Definições do sítio" e toque nela. Desloque-se para baixo até ver a opção "Notificações" e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas para que estes sítios Web enviem notificações. No entanto, se voltar a visitar o mesmo sítio, este pode voltar a pedir uma autorização. Pode optar por conceder ou não estas permissões (se optar por recusar, o sítio Web irá para a secção "Bloqueado" e deixará de lhe pedir a permissão).
Repor o navegador Web Chrome:
Aceda a "Definições", desloque-se para baixo até ver "Aplicações" e toque na mesma.
Desloque-se para baixo até encontrar a aplicação "Chrome", selecione-a e toque na opção "Armazenamento".
Toque em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação tocando em "OK". Note que a reposição do navegador elimina todos os dados armazenados no mesmo. Isto significa que todos os inícios de sessão/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sítios Web.
Eliminar o histórico de navegação do browser Firefox:
Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu pendente aberto.
Desloque-se para baixo até ver "Limpar dados privados" e toque nele. Selecione os tipos de dados que pretende remover e toque em "LIMPAR DADOS".
Desativar as notificações do navegador no navegador Web Firefox:
Visite o sítio Web que está a enviar notificações do navegador, toque no ícone apresentado à esquerda da barra de URL (o ícone não será necessariamente um "cadeado") e selecione "Editar definições do sítio".
Na janela pop-up aberta, selecione a opção "Notificações" e toque em "LIMPAR".
Reinicie o navegador Web Firefox:
Aceda a "Definições", desloque-se para baixo até ver "Aplicações" e toque na mesma.
Desloque-se para baixo até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".
Toque em "LIMPAR DADOS" e confirme a ação tocando em "APAGAR". Note que a reposição do navegador elimina todos os dados armazenados no mesmo. Isto significa que todos os inícios de sessão/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sítios Web.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Aceda a "Definições", desloque-se para baixo até ver "Aplicações" e toque na mesma.
Desloque-se para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por alguma razão, não conseguir remover a aplicação selecionada (por exemplo, é-lhe apresentada uma mensagem de erro), deve tentar utilizar o "Modo de Segurança".
Arrancar o dispositivo Android no "Modo de segurança":
O "Modo de segurança" do sistema operativo Android desactiva temporariamente a execução de todas as aplicações de terceiros. A utilização deste modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar "normalmente").
Prima o botão "Power" e mantenha-o premido até ver o ecrã "Desligar". Toque no ícone "Desligar" e mantenha-o premido. Após alguns segundos, aparecerá a opção "Modo de segurança" e poderá executá-la reiniciando o dispositivo.
Verifique a utilização da bateria de várias aplicações:
Aceda a "Definições", desloque-se para baixo até ver "Manutenção do dispositivo" e toque nela.
Toque em "Bateria" e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.
Verifique a utilização de dados de várias aplicações:
Aceda a "Definições", desloque-se para baixo até ver "Ligações" e toque nela.
Desloque-se para baixo até ver "Utilização de dados" e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínas são concebidas para minimizar a utilização de dados tanto quanto possível. Isto significa que uma grande utilização de dados pode indicar a presença de uma aplicação maliciosa. Note-se que algumas aplicações maliciosas podem ser concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados móveis e Wi-Fi.
Se encontrar uma aplicação que utilize muitos dados, apesar de nunca a utilizar, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instalar as actualizações de software mais recentes:
Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos estão continuamente a lançar vários patches de segurança e actualizações do Android para corrigir erros e bugs que podem ser utilizados por criminosos informáticos. Um sistema desatualizado é muito mais vulnerável, pelo que deve certificar-se sempre de que o software do seu dispositivo está atualizado.
Vá a "Definições", desloque-se para baixo até ver "Atualização de software" e toque nela.
Toque em "Descarregar actualizações manualmente" e verifique se existem actualizações disponíveis. Em caso afirmativo, instale-as imediatamente. Recomendamos também que active a opção "Descarregar actualizações automaticamente" - esta opção permitirá que o sistema o notifique quando for lançada uma atualização e/ou a instale automaticamente.
Repor o sistema no seu estado predefinido:
Executar uma "Reposição de fábrica" é uma boa forma de remover todas as aplicações indesejadas, repor as predefinições do sistema e limpar o dispositivo em geral. No entanto, deve ter em conta que todos os dados do dispositivo serão eliminados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo e não no cartão SIM), mensagens SMS, etc. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Também pode restaurar as definições básicas do sistema e/ou simplesmente as definições de rede.
Vá a "Definições", desloque-se para baixo até ver "Acerca do telemóvel" e toque nele.
Desloque-se para baixo até ver "Repor" e toque nele. Agora escolha a ação que pretende executar:
"Repor definições" - repõe todas as definições do sistema para as predefinições;
"Repor definições de rede" - repõe todas as definições relacionadas com a rede para as predefinições;
"Repor dados de fábrica" - repõe todo o sistema e elimina completamente todos os dados armazenados;
Desativar aplicações que tenham privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não devem ter.
Aceda a "Definições", desloque-se para baixo até ver "Ecrã de bloqueio e segurança" e toque nessa opção.
Desloque-se para baixo até ver "Outras definições de segurança", toque nela e, em seguida, toque em "Aplicações de administração do dispositivo".
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e depois em "DESACTIVAR".
Perguntas frequentes (FAQ)
Meu dispositivo Android está infectado com o malware RedHook. Devo formatar meu dispositivo de armazenamento para me livrar dele?
A remoção de malware raramente requer formatação.
Quais são os maiores problemas que o malware RedHook pode causar?
As ameaças associadas a uma infeção dependem das capacidades do malware e dos objetivos dos atacantes. O RedHook é um trojan que tem como alvo informações pessoais e bancárias e possui amplos recursos de acesso remoto. A sua presença num dispositivo pode levar a várias infeções no sistema, sérios problemas de privacidade, perdas financeiras e roubo de identidade.
Qual é o objetivo do malware RedHook?
O malware é usado predominantemente para obter ganhos financeiros. No entanto, os cibercriminosos também podem usar programas maliciosos para se divertir, realizar vinganças pessoais, interromper processos (por exemplo, sites, serviços, organizações, etc.), envolver-se em hacktivismo e lançar ataques motivados por questões políticas/geopolíticas.
Como o malware RedHook se infiltrou no meu dispositivo Android?
O RedHook tem-se proliferado sob o disfarce de aplicações legítimas através de páginas web que imitam sites financeiros e governamentais genuínos.
Outras técnicas de distribuição não são improváveis. Os métodos mais comuns incluem: downloads drive-by, spam, golpes online, malvertising, fontes de download duvidosas (por exemplo, sites não oficiais e gratuitos de hospedagem de ficheiros, redes de partilha P2P, lojas de aplicações de terceiros, etc.), ferramentas ilegais de ativação de software (“cracks”), conteúdo pirata e atualizações falsas. Alguns programas maliciosos podem até mesmo se espalhar por redes locais e dispositivos de armazenamento removíveis.
O Combo Cleaner irá proteger-me contra malware?
O Combo Cleaner foi concebido para analisar dispositivos e eliminar todos os tipos de ameaças. É capaz de detetar e remover a maioria das infeções de malware conhecidas. Lembre-se de que é fundamental realizar uma análise completa do sistema, uma vez que os programas maliciosos sofisticados normalmente escondem-se nas profundezas dos sistemas.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários