Como remover o ClayRat de dispositivos infetados
TrojanTambém conhecido como: ClayRat software espião
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o ClayRat?
O ClayRat é um spyware para Android que tem como alvo principal os utilizadores na Rússia. Ele se disfarça como vários aplicativos populares para enganar utilizadores desavisados e fazê-los instalá-lo. Uma vez infiltrado num dispositivo, o malware pode capturar várias informações confidenciais e se espalhar ainda mais pelos dispositivos infectados. Se for detectado num dispositivo, o ClayRat deve ser removido o mais rápido possível.
ClayRat em detalhe
O ClayRat comunica com os servidores dos atacantes utilizando ligações de Internet padrão. O malware adiciona um código específico aos seus dados para ocultar o que envia. Outra versão do ClayRat encripta as suas comunicações para torná-las mais difíceis de detetar.
O ClayRat aproveita uma configuração especial do Android chamada manipulador SMS padrão. Um aplicativo com essa configuração pode ver e gerenciar todas as mensagens de texto. Com o controlo sobre essa configuração, o spyware pode ler qualquer mensagem, enviar mensagens de texto sem a confirmação das vítimas, interceptar mensagens antes que outros aplicativos as vejam e aceder ou alterar dados SMS para monitorar as comunicações continuamente.
Essencialmente, o ClayRat pode usar a função de manipulador de SMS para roubar dados, espionar utilizadores e espalhar-se amplamente, contornando as proteções de segurança habituais. O malware também pode tirar fotos (geralmente com a câmara frontal) e enviá-las para o seu servidor de comando e controlo (C2).
Ele também pode receber comandos remotos para enviar mensagens SMS, histórico de chamadas e notificações para o servidor e capturar informações do dispositivo. É importante observar que o spyware pode enviar mensagens automaticamente para todos os contactos no dispositivo da vítima com uma mensagem contendo um link malicioso.
Cada dispositivo infectado ajuda a espalhar o malware rapidamente, enviando o link para contactos confiáveis.
| Nome | ClayRat software espião |
| Tipo de ameaça | Spyware, malware para Android |
| Nomes de detecção | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.Banker.AVT), ESET-NOD32 (Uma variante do Android/Spy.Agent.ENA), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.hv), Lista completa (VirusTotal) |
| Sintomas | Atividade invulgar de SMS, instalações inesperadas de aplicações, ativação da câmara sem permissão. |
| Métodos de distribuição | Sites de phishing, mensagens SMS enganosas contendo links, canais do Telegram, aplicativos falsos que se passam por aplicativos populares (por exemplo, YouTube Plus, WhatsApp, Google Fotos, TikTok). |
| Danos | Roubo de informações pessoais, diminuição do desempenho do dispositivo, bateria descarregada rapidamente, diminuição da velocidade da Internet, enormes perdas de dados, perdas monetárias, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
Em conclusão, o ClayRat é um spyware para Android que pode espionar as vítimas, roubar dados confidenciais, capturar fotos e se espalhar automaticamente por SMS. Ao explorar permissões poderosas do sistema, ele contorna as proteções de segurança normais e utiliza dispositivos infectados para distribuir ainda mais o malware.
Como é que o ClayRat se infiltrou no meu dispositivo?
O ClayRat é distribuído usando engenharia social e sites enganosos. Os agentes maliciosos usam domínios falsificados e páginas de phishing para redirecionar as vítimas para canais do Telegram que hospedam o APK malicioso. Eles geralmente fornecem instruções dizendo aos utilizadores para ignorar os avisos de segurança e instalar o malware.
Os cibercriminosos expandem o seu alcance criando comentários positivos falsos e contagens de downloads inflacionadas para fazer com que os seus canais do Telegram pareçam confiáveis. Quando se trata de sites de phishing, os atacantes criam sites de download falsos para aplicativos populares como YouTube Plus, WhatsApp, Google Fotos e TikTok.
Esses sites hospedam APKs disfarçados como atualizações ou complementos legítimos e, muitas vezes, imitam sites oficiais, fornecendo instruções que induzem os utilizadores a fazer o sideload do aplicativo malicioso.
Algumas aplicações ClayRat funcionam como droppers que mostram uma tela falsa de atualização da Play Store enquanto ocultam o malware real dentro da aplicação. Isso leva os utilizadores a pensar que a instalação é segura, aumentando a probabilidade de o spyware ser instalado.
Além disso, o ClayRat usou a lista de contactos da vítima para enviar mensagens enganosas aos seus contactos. Como essas mensagens parecem ter sido enviadas por um remetente confiável, os destinatários ficam mais propensos a clicar no link, entrar no mesmo canal do Telegram ou visitar o site de phishing.
Como evitar a instalação de malware?
Descarregue aplicações de lojas oficiais, como Google Play ou Apple App Store. Evite lojas de terceiros ou sites não oficiais (verifique sempre os URLs antes de descarregar). Não clique em links em e-mails, SMS ou mensagens não solicitadas e evite interagir com pop-ups ou outros conteúdos em sites suspeitos.
Mantenha o seu sistema operativo e as suas aplicações atualizados e utilize um antivírus ou uma aplicação antimalware de confiança. Verifique regularmente se o seu dispositivo tem ameaças.
Site falso que se faz passar pelo site oficial do YouTube e hospeda o malware (fonte: zimperium.com):
Ecrã falso de atualização do Google Play utilizado pelo malware (fonte: zimperium.com):
ClayRat solicita permissão para enviar SMS (fonte: zimperium.com):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android no "Modo de segurança"?
- Como verificar o uso da bateria por vários aplicativos?
- Como verificar o uso de dados de vários aplicativos?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações que têm privilégios de administrador?
Elimine o histórico de navegação do navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em «Limpar dados».
Desative as notificações do navegador no navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso aberto.
Desça até ver a opção «Configurações do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção «Bloqueado» e não solicitará mais a sua permissão).
Reinicie o navegador Chrome:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Role para baixo até encontrar o aplicativo "Chrome", selecione-o e toque na opção "Armazenamento".
Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isto significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.
Elimine o histórico de navegação do navegador Firefox:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Role para baixo até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».
Desative as notificações do navegador no navegador Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».
Na janela pop-up aberta, selecione a opção «Notificações» e toque em «APAGAR».
Reinicie o navegador Firefox:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».
Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão eliminados. Também terá de fazer login novamente em todos os sites.
Desinstale aplicações potencialmente indesejadas e/ou maliciosas:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Desça até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em «Desinstalar». Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), tente utilizar o «Modo de segurança».
Inicie o dispositivo Android no «Modo de segurança»:
O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).
Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o pressionado. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.
Verifique o uso da bateria por várias aplicações:
Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.
Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.
Verifique o uso de dados de vários aplicativos:
Vá para «Definições», desça até ver «Ligações» e toque nessa opção.
Role para baixo até ver «Utilização de dados» e selecione essa opção. Assim como acontece com a bateria, os aplicativos legítimos/genuínos são projetados para minimizar a utilização de dados tanto quanto possível. Isso significa que uma utilização excessiva de dados pode indicar a presença de um aplicativo malicioso. Observe que alguns aplicativos maliciosos podem ser projetados para funcionar apenas quando o dispositivo está conectado a uma rede sem fio. Por esse motivo, você deve verificar a utilização de dados móveis e Wi-Fi.
Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instale as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.
Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.
Toque em «Transferir atualizações manualmente» e verifique se há atualizações disponíveis. Se houver, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» — ela permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações do sistema para o padrão e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para «Definições», desça até ver «Sobre o telefone» e toque nele.
Desça até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
Repor definições" - repõe todas as definições do sistema para as predefinições;
"Repor definições de rede" - repõe todas as definições relacionadas com a rede para as predefinições;
"Repor dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desative as aplicações que têm privilégios de administrador:
Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.
Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nele.
Desça até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».
Perguntas frequentes (FAQ)
O meu dispositivo está infetado com o malware ClayRat. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, muitas vezes não é necessário tomar medidas tão drásticas. Malwares como o ClayRat geralmente podem ser removidos sem formatar o dispositivo, usando um antivírus ou uma ferramenta antimalware confiável, como o Combo Cleaner.
Quais são os maiores problemas que o malware pode causar?
O malware pode causar roubo de dados, perdas financeiras, danos ao dispositivo (por exemplo, encriptação de ficheiros), infeções adicionais e problemas semelhantes.
Qual é o objetivo do malware ClayRat?
Este malware pode roubar dados (por exemplo, ler SMS, recolher informações do dispositivo), espiar os utilizadores, tirar fotos usando a câmara do dispositivo e propagar-se ainda mais através de SMS, explorando dispositivos infetados.
Como é que o ClayRat se infiltrou no meu dispositivo?
O ClayRat se espalha por sites falsos e páginas de phishing que redirecionam os utilizadores para canais do Telegram que hospedam o aplicativo malicioso. Esses sites imitam aplicativos populares e fornecem instruções falsas para induzir os utilizadores a instalar o malware, às vezes usando telas de atualização falsas para parecerem legítimos.
O Combo Cleaner irá proteger-me contra malware?
Sim, o Combo Cleaner pode detetar e remover a maioria das infeções de malware conhecidas. No entanto, o malware avançado pode estar escondido nas profundezas do sistema, por isso é altamente recomendável realizar uma verificação completa do sistema.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários