Como eliminar o Herodotus de dispositivos Android infetados
TrojanTambém conhecido como: Trojan bancário Herodotus
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o Herodotus?
Herodotus é um malware para Android que assume o controlo de dispositivos e tenta imitar ações humanas reais para escapar de verificações de segurança baseadas em comportamento. Ele já foi usado em ataques na Itália e no Brasil, e um modelo de Malware-as-a-Service já foi anunciado. Há indícios de que o malware poderá ter funcionalidades adicionais no futuro.
Heródoto em detalhe
O Herodotus é distribuído por sideloading, frequentemente através de mensagens SMS que atraem as vítimas para um link malicioso, que entrega um dropper. Quando executado, o dropper instala a carga útil de forma a contornar as restrições do Android 13 (e versões posteriores) aos Serviços de Acessibilidade. O dropper inicia o Herodotus e abre as definições de Acessibilidade para levar a vítima a ativá-lo.
Uma vez concedida, o Herodotus mostra uma tela de carregamento falsa para ocultar o abuso de permissão e, em seguida, prepara-se para roubar credenciais e assumir o controlo do dispositivo. Ele também envia a lista de aplicativos instalados para o seu C2, recebe alvos específicos e páginas de sobreposição e aguarda que a vítima abra um desses aplicativos, onde exibirá uma tela de login falsa para roubar os detalhes de login.
Com o Herodotus, os cibercriminosos podem tocar em itens, pressionar pontos específicos do ecrã, digitar texto, deslizar e usar botões do sistema como «Voltar», «Início» e «Recentes», o que lhes dá total interação remota com o dispositivo. Isso permite que eles roubem dinheiro ao concluir transações na conta da vítima.
Quando os criminosos inserem texto no dispositivo da vítima, eles podem digitá-lo manualmente usando o teclado do dispositivo ou injetá-lo diretamente nos campos de entrada. Digitar manualmente é lento, por isso muitos trojans bancários usam a injeção direta de texto para garantir que o texto correto seja inserido instantaneamente.
No entanto, esse método pode parecer artificial e acionar sistemas antifraude, então Heródoto tenta ocultar isso dividindo o texto em caracteres individuais e inserindo atrasos aleatórios.
Além disso, o Herodotus pode exibir uma sobreposição de bloqueio, uma tela falsa colocada sobre a interface de utilizador real que oculta atividades fraudulentas da vítima, mas permanece parcialmente visível para o invasor. Um comando de sobreposição separado tem como alvo aplicativos bancários, mantendo as vítimas longe do aplicativo para que não vejam as transações nem entrem em contacto com o banco.
O Herodotus também pode exibir sobreposições falsas que roubam credenciais, roubam SMS para obter códigos 2FA e executam keylogging baseado em acessibilidade para capturar dados na tela. Além disso, o malware pode desbloquear dispositivos infetados, gerenciar ficheiros, capturar PINs, senhas e entradas biométricas, instalar APKs remotos e manter persistência.
O Herodotus tem-se disfarçado como Banca Sicura na Itália e Modulo Segurança Stone no Brasil para induzir as vítimas a instalá-lo. Embora outros ataques ativos ainda não tenham sido confirmados, algumas sobreposições indicam que o Herodotus está a ser preparado para atacar bancos e plataformas de criptomoedas nos EUA, Turquia, Reino Unido e Polónia.
| Nome | Trojan bancário Herodotus |
| Tipo de ameaça | Malware para Android, aplicação maliciosa, aplicação indesejada. |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aplicativos questionáveis aparecem, o uso de dados e bateria aumenta significativamente, os navegadores redirecionam para sites questionáveis e anúncios intrusivos são exibidos. |
| Métodos de distribuição | Mensagens SMS enganosas, links falsos, aplicações bancárias falsas. |
| Danos | Informações pessoais roubadas (mensagens privadas, logins/senhas, etc.), diminuição do desempenho do dispositivo, bateria descarregada rapidamente, diminuição da velocidade da Internet, perda monetária, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O Herodotus é um sofisticado trojan bancário para Android que contorna as proteções de acessibilidade modernas para obter controlo persistente dos dispositivos infetados. Ele combina sobreposições falsas, interceção de SMS, registo de ecrã e capacidades de controlo remoto para roubar credenciais e realizar transações não autorizadas.
Se for detetado num dispositivo, o Herodotus deve ser removido o mais rápido possível. Alguns exemplos de outros trojans bancários que visam utilizadores Android são Klopatra, Datzbro e RedHook.
Como é que Heródoto se infiltrou no meu dispositivo?
Os utilizadores normalmente são infetados através do sideloading. As vítimas recebem uma mensagem SMS enganosa que inclui um link para um dropper malicioso, que a vítima descarrega e instala. O dropper então instala e inicia o Herodotus. Sabe-se que o Herodotus frequentemente se disfarça como um aplicativo bancário (por exemplo, Banca Sicura ou Modulo Segurança Stone).
Como evitar a instalação de malware?
Descarregue aplicações apenas de fontes confiáveis, como Google Play, Apple App Store ou sites oficiais. Atualize regularmente o sistema operativo e as aplicações instaladas. Use software de segurança móvel confiável. Evite clicar em links em e-mails, mensagens de texto ou mensagens de redes sociais suspeitos.
Além disso, não clique em links, anúncios, pop-ups, botões, etc., em sites suspeitos.
Uma janela falsa exibida pelo malware (fonte: threatfabric.com):
Painel de administração (fonte: threatfabric.com):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android no "Modo de segurança"?
- Como verificar o uso da bateria por vários aplicativos?
- Como verificar o uso de dados de vários aplicativos?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações que têm privilégios de administrador?
Elimine o histórico de navegação do navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em «Limpar dados».
Desative as notificações do navegador no navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso aberto.
Desça até ver a opção «Definições do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção «Bloqueado» e não solicitará mais a sua permissão).
Reinicie o navegador Chrome:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Desça até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».
Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.
Elimine o histórico de navegação do navegador Firefox:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Desça até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».
Desative as notificações do navegador no navegador Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».
Na janela pop-up aberta, selecione a opção «Notificações» e toque em «LIMPAR».
Reinicie o navegador Firefox:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».
Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados armazenados no mesmo. Isto significa que todos os logins/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.
Desinstale aplicações potencialmente indesejadas e/ou maliciosas:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Desça até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em «Desinstalar». Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o «Modo de segurança».
Inicie o dispositivo Android no «Modo de segurança»:
O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).
Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o pressionado. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.
Verifique o uso da bateria por várias aplicações:
Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.
Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.
Verifique o uso de dados de vários aplicativos:
Vá para «Definições», desça até ver «Ligações» e toque nessa opção.
Role para baixo até ver «Utilização de dados» e selecione essa opção. Assim como acontece com a bateria, os aplicativos legítimos/genuínos são projetados para minimizar a utilização de dados tanto quanto possível. Isso significa que uma utilização excessiva de dados pode indicar a presença de um aplicativo malicioso. Observe que alguns aplicativos maliciosos podem ser projetados para funcionar apenas quando o dispositivo está conectado a uma rede sem fio. Por esse motivo, você deve verificar a utilização de dados móveis e Wi-Fi.
Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instale as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.
Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.
Toque em «Transferir atualizações manualmente» e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» - isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações padrão do sistema e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para «Definições», desça até ver «Sobre o telefone» e toque nessa opção.
Role para baixo até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
Redefinir configurações" - restaura todas as configurações do sistema para o padrão;
"Redefinir configurações de rede" - restaura todas as configurações relacionadas à rede para o padrão;
"Redefinição de dados de fábrica" - redefine todo o sistema e exclui completamente todos os dados armazenados;
Desative as aplicações que têm privilégios de administrador:
Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.
Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nessa opção.
Desça até ver «Outras definições de segurança», toque nela e, em seguida, toque em «Aplicações de administração do dispositivo».
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».
Perguntas frequentes (FAQ)
O meu dispositivo está infetado com o malware Herodotus. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação do dispositivo removerá o Herodotus, mas também apagará todos os ficheiros e dados na unidade. Para evitar a perda de dados, recomenda-se primeiro tentar um programa antivírus ou de remoção de malware confiável, como o Combo Cleaner.
Quais são os maiores problemas que o malware pode causar?
Os atacantes podem usar malware para recolher dados pessoais e bancários, danificar ou corromper sistemas, bloquear ficheiros com encriptação, assumir o controlo remoto, instalar mais cargas maliciosas e muito mais. Isso pode levar a perdas monetárias, roubo de identidade, perda de dados e outros problemas.
Qual é o objetivo de Heródoto?
Herodotus é um trojan bancário para Android que abusa das permissões de acessibilidade para obter controlo remoto total dos dispositivos infetados. Ele rouba credenciais e 2FA (por meio de sobreposições falsas e roubo de SMS), extrai listas de aplicações para direcionar as vítimas, injeta entradas para concluir transações fraudulentas e mantém a persistência.
Como é que Heródoto se infiltrou no meu dispositivo?
O Herodotus infecta os utilizadores quando estes transferem um dropper a partir de um link SMS enganador. O dropper instala e inicia o malware, que muitas vezes se faz passar por uma aplicação bancária legítima.
O Combo Cleaner irá proteger-me contra malware?
O Combo Cleaner consegue detetar e remover quase todos os malwares conhecidos. No entanto, as ameaças avançadas muitas vezes escondem-se profundamente no sistema, por isso é essencial realizar uma verificação completa do sistema.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários