Como remover o GhostGrab de dispositivos Android

O que é o GhostGrab?

O GhostGrab é um malware Android com dupla finalidade que rouba dados financeiros enquanto usa secretamente dispositivos infetados para minerar criptomoedas. Ele recolhe logins bancários, dados de cartões e códigos únicos (através de SMS interceptados), imprenta digital de dispositivos e executa um minerador oculto. Se for detetado num dispositivo, o GhostGrab deve ser eliminado o mais rápido possível.

GhostGrab em detalhes

O ataque começa num site malicioso. Um script nesse site redireciona automaticamente o navegador e faz com que ele descarregue um APK malicioso. O APK descarregado é o dropper, a primeira etapa usada para injetar outro malware no dispositivo da vítima. O dropper engana os utilizadores com uma tela falsa de "Atualização" para obter permissão para instalar aplicativos diretamente (em vez de através do Google Play).

Ele carrega uma página web remota dentro de um WebView e simula um dispositivo iOS, que pode ser usado para phishing ou exibição de anúncios maliciosos. O malware também se regista no Firebase para receber comandos remotos. Por fim, ele inicia um minerador Monero, que permite aos cibercriminosos usar o dispositivo como um minerador de criptomoedas.

Módulo de roubo bancário

Além disso, o dropper do GhostGrab injeta uma carga útil de roubo bancário. Este módulo pode ler e capturar notificações (incluindo códigos únicos), desligar ou alterar o modo silencioso, fazer chamadas telefónicas, executar serviços ocultos e ler, copiar e modificar ficheiros e mídias no dispositivo.

Além disso, o módulo bancário pode exibir notificações falsas ou enganosas, aceder a fotos, vídeos e ficheiros de áudio, ler IDs de dispositivos e detalhes do telefone e ler mensagens de texto armazenadas. Ele também pode interceptar mensagens SMS recebidas (como OTPs) e enviar mensagens de texto. O malware se oculta para não aparecer no iniciador do telefone e pode ser executado silenciosamente em segundo plano.

O GhostGrab pode exibir páginas bancárias falsas e solicitar detalhes pessoais, como nome, número de telefone e número da conta. Se o utilizador selecionar a opção de cartão de débito, ele solicita o número completo do cartão, data de validade, número CVV e PIN do cartão multibanco. Se o utilizador escolher o serviço bancário pela Internet, o malware solicita o ID do utilizador, a palavra-passe de login e a palavra-passe de transação.

Cada formulário apresenta entradas formatadas corretamente, para que o invasor obtenha informações precisas que possa usar para assumir o controlo de contas ou roubar dinheiro. O malware empacota todas essas informações num ficheiro de dados e as carrega para um banco de dados online (Firebase), permitindo que o invasor acesse esses detalhes remotamente.

Roubo de dados do cartão SIM

Além disso, o malware pode roubar informações sobre os cartões SIM e a rede móvel do dispositivo. Isso inclui números de telefone, nome da operadora, número de série exclusivo do cartão SIM, slot em que cada SIM está localizado, identificadores do dispositivo vinculados à rede móvel e outros detalhes relacionados à rede.

O GhostGrab também pode interceptar todas as mensagens de texto recebidas. Ele copia o conteúdo da mensagem, as informações do remetente e os identificadores do dispositivo e, em seguida, envia essas informações ao invasor. Ele também pode encaminhar mensagens diretamente para o dispositivo do invasor ou enviá-las para um número especificado.

É essencial observar que o GhostGrab pode pesquisar termos relacionados a bancos, como "transação" e "retirada", em mensagens, permitindo que invasores monitorem mensagens relacionadas a bancos e rastreiem transações.

Além disso, o malware pode ativar ou desativar o encaminhamento de chamadas num dispositivo infetado. Ele marca códigos especiais para encaminhar chamadas recebidas para outro número (o do invasor), oculta essa ação e pode interceptar chamadas importantes, como aquelas relacionadas a senhas de uso único.

Conclusão

O GhostGrab é um malware malicioso para Android que se esconde no dispositivo, rouba informações confidenciais e é executado em segundo plano sem ser detetado. Ele captura detalhes pessoais, credenciais bancárias, mensagens SMS e dados SIM/de rede, e pode até mesmo reencaminhar chamadas ou interceptar OTPs. Ele também usa o dispositivo para minerar secretamente criptomoedas para os atacantes.

Outros exemplos de ladrões de Android são Klopatra, Datzbro e PhantomCard.

Como é que o GhostGrab se infiltrou no meu dispositivo?

O GhostGrab é distribuído por meio de um site malicioso que força o download de um APK dropper pelo navegador e, em seguida, induz o utilizador a instalá-lo. As vítimas são redirecionadas de uma página maliciosa por JavaScript, que baixa automaticamente um APK. O dropper então exibe uma tela falsa de "Atualização" da Play Store para induzir os utilizadores a instalar cargas ocultas fora do Google Play.

Como evitar a instalação de malware?

Instale sempre aplicações da Google Play Store oficial ou de sites oficiais e verifique as avaliações. Não clique em links encontrados em mensagens de texto, e-mails ou publicações nas redes sociais suspeitas. Atualize regularmente o sistema operativo e as aplicações. Use o Google Play Protect e uma aplicação de segurança móvel confiável.

Além disso, evite interagir com anúncios, pop-ups e links encontrados em sites suspeitos.

O malware solicita várias permissões (fonte: cyfirma.com):

O GhostGrab exibe formulários falsos para obter informações de cartões de débito (fonte: cyfirma.com):

O malware apresenta formulários falsos para obter dados bancários da Internet (fonte: cyfirma.com):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações do navegador Chrome?
• Como redefinir o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações do navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como inicializar o dispositivo Android no "Modo de segurança"?
• Como verificar o uso da bateria por vários aplicativos?
• Como verificar o uso de dados de vários aplicativos?
• Como instalar as atualizações de software mais recentes?
• Como redefinir o sistema para o seu estado padrão?
• Como desativar aplicações que têm privilégios de administrador?

Elimine o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.

Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em «Limpar dados».

[Voltar ao menu]

Desative as notificações do navegador no navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso aberto.

Desça até ver a opção «Definições do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção "Bloqueado" e não solicitará mais a sua permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá para «Definições», desça até ver «Aplicações» e toque nela.

Role para baixo até encontrar o aplicativo "Chrome", selecione-o e toque na opção "Armazenamento".

Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a redefinição do navegador eliminará todos os dados armazenados no mesmo. Isto significa que todos os logins/palavras-passe guardados, histórico de navegação, configurações não padrão e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Elimine o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.

Desça até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desative as notificações do navegador no navegador Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».

Na janela pop-up aberta, selecione a opção «Notificações» e toque em «LIMPAR».

[Voltar ao menu]

Reinicie o navegador Firefox:

Vá para «Definições», desça até ver «Aplicações» e toque nela.

Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».

Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isto significa que todos os logins/senhas guardados, histórico de navegação, configurações não padrão e outros dados serão eliminados. Também terá de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstale aplicações potencialmente indesejadas e/ou maliciosas:

Vá para «Definições», desça até ver «Aplicações» e toque nela.

Role para baixo até ver um aplicativo potencialmente indesejado e/ou malicioso, selecione-o e toque em "Desinstalar". Se, por algum motivo, não conseguir remover o aplicativo selecionado (por exemplo, se for exibida uma mensagem de erro), tente usar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o pressionado. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o uso da bateria por várias aplicações:

Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.

Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o uso de dados de vários aplicativos:

Vá para «Definições», desça até ver «Ligações» e toque nessa opção.

Role para baixo até ver «Utilização de dados» e selecione essa opção. Assim como acontece com a bateria, os aplicativos legítimos/genuínos são projetados para minimizar a utilização de dados tanto quanto possível. Isso significa que uma utilização excessiva de dados pode indicar a presença de um aplicativo malicioso. Observe que alguns aplicativos maliciosos podem ser projetados para funcionar apenas quando o dispositivo está conectado a uma rede sem fio. Por esse motivo, você deve verificar a utilização de dados móveis e Wi-Fi.

Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.

Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.

Toque em «Transferir atualizações manualmente» e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» - isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefinir o sistema para o seu estado padrão:

Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações padrão do sistema e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.

Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.

Vá para «Definições», desça até ver «Sobre o telefone» e toque nele.

Role para baixo até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
» Repor definições" - repõe todas as definições do sistema para as predefinições;
"Repor definições de rede" - repõe todas as definições relacionadas com a rede para as predefinições;
"Repor dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desative as aplicações que têm privilégios de administrador:

Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.

Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nele.

Desça até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware GhostGrab. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

O GhostGrab pode ser removido através da reposição das configurações de fábrica do dispositivo, mas isso também apaga todos os dados armazenados. Antes de tomar essa medida, tente verificar o dispositivo com um aplicativo antivírus confiável, como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode ser usado para roubar dados pessoais, danificar sistemas, encriptar ficheiros, dar acesso remoto a invasores, instalar ferramentas maliciosas adicionais e, por fim, causar prejuízos financeiros, roubo de identidade, perda de dados e outros problemas.

Qual é o objetivo do GhostGrab?

O GhostGrab foi concebido para roubar secretamente informações bancárias e pessoais de dispositivos Android, interceptar mensagens e chamadas e lançar um minerador de criptomoedas.

Como é que o GhostGrab se infiltrou no meu dispositivo?

É provável que o malware tenha sido entregue a partir de um site malicioso que forçou o seu navegador a descarregar um APK dropper e, em seguida, o induziu a instalá-lo. O dropper exibiu posteriormente uma tela falsa de "Atualização" da Play Store para coagir você a instalar cargas úteis ocultas fora do Google Play.

O Combo Cleaner irá proteger-me contra malware?

O Combo Cleaner pode identificar e remover a maioria dos malwares conhecidos, mas ameaças mais sofisticadas podem estar ocultas no sistema, tornando necessária uma verificação completa do dispositivo.