Como eliminar o BankBot de dispositivos comprometidos
TrojanTambém conhecido como: Trojan de acesso remoto BankBot
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
O que é o BankBot RAT?
O BankBot é um RAT para Android que assume o controlo total dos dispositivos infetados. Ele explora os serviços de acessibilidade para obter várias permissões, automatizar a interface do utilizador do dispositivo, roubar dados confidenciais e executar operações não autorizadas. Se um dispositivo estiver infetado com o BankBot, o malware deve ser removido imediatamente.
BankBot RAT em detalhe
O BankBot detecta se está a ser executado num emulador ou sandbox para evitar análises. Ele verifica a marca, o modelo e a ROM do dispositivo e adapta o seu comportamento de acordo com isso, permitindo-lhe visar ou ignorar dispositivos específicos. Essas verificações permitem que o BankBot seja executado apenas em dispositivos reais selecionados e permaneça oculto de análises automatizadas.
Além disso, o malware recolhe informações do dispositivo, como versão do Android, versão do sistema operativo, marca, modelo, fabricante, ID do hardware, ID de compilação e nome do produto. Essas informações são registadas para criação de perfis, direcionamento a dispositivos específicos e prevenção da execução em dispositivos não suportados.
Além disso, o BankBot silencia o telefone para que as vítimas não ouçam alertas. Quando ativo, o malware utiliza os controlos do sistema para silenciar músicas, toques e notificações. Isso interrompe os sons de chamadas, mensagens e outros alertas, para que o utilizador não perceba a atividade maliciosa.
O BankBot pode enviar um comando para abrir as Definições de Acessibilidade do dispositivo, levando o utilizador a ativar o seu serviço de acessibilidade. Isso dá-lhe permissões adicionais para controlar o dispositivo e realizar ações automaticamente. Funciona no Android até à versão 13, mas o Android 14 bloqueia esse tipo de contorno de permissão.
Além disso, o malware mantém a persistência ao agendar uma tarefa. Ela é executada aproximadamente a cada 30 segundos, requer uma ligação de rede e está configurada para persistir mesmo após reinicializações do dispositivo, permitindo que o malware opere continuamente.
Recursos de acesso remoto
O BankBot pode ativar e desativar serviços de acessibilidade e obter privilégios de administrador do dispositivo. Por exemplo, depois de obter permissão de acessibilidade, ele pode exibir uma falsa "Verificação de Informações Pessoais" em tela cheia para distrair a vítima. Enquanto a vítima é enganada, ele ativa silenciosamente as permissões necessárias, inicia os seus serviços e adiciona-se como administrador do dispositivo.
Além disso, o malware pode instalar ou desinstalar APKs, atualizar ecrãs, abrir aplicações, definir ou cancelar o reencaminhamento de chamadas e enviar SMS. Também pode roubar contactos, SMS, lista de aplicações instaladas, estado do dispositivo e localização, além de poder desbloquear o ecrã, simular cliques e deslizes.
Além disso, o BankBot pode ligar e desligar o ecrã, descarregar ficheiros, tirar fotos (e capturas de ecrã), ocultar janelas e definir texto em campos de entrada. Isso permite que o malware controle totalmente o dispositivo, espie o utilizador e manipule a interface.
Além disso, o malware pode ler a área de transferência do Android e capturar dados confidenciais, como palavras-passe, chaves criptográficas e outras informações pessoais. Ele também tem como alvo carteiras criptográficas, usando o Android Accessibility para abrir aplicações de carteira, automatizar a interface do utilizador e ler dados (como frases-semente, chaves privadas ou detalhes de transações).
As criptomoedas e carteiras visadas incluem AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (Ethereum Crypto Wallet), TokenPocket, Trust Wallet e Valor.
É essencial observar que o BankBot pode se disfarçar como Google News alterando seu nome e ícone e, em seguida, carregando o site news.google.com em um WebView para enganar as vítimas e fazê-las acreditar que se trata do aplicativo genuíno, reduzindo assim suas suspeitas enquanto o malware executa atividades maliciosas.
Além disso, o malware comunica-se com o seu servidor para obter uma lista de aplicações a serem alvo de roubo ou fraude. Todas essas aplicações são principalmente financeiras ou bancárias, incluindo aplicações de transferência de dinheiro, aplicações bancárias móveis, carteiras digitais e alguns navegadores. Isso permite que o malware identifique e potencialmente roube dados, credenciais ou execute ações nessas aplicações no dispositivo infetado.
| Nome | Trojan de acesso remoto BankBot |
| Tipo de ameaça | Malware para Android, Trojan de acesso remoto |
| Nomes de detecção | Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aFJD), ESET-NOD32 (Várias deteções), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.md), Lista completa (VirusTotal) |
| Sintomas | Sinais de controlo do dispositivo, notificações e sons silenciados. |
| Métodos de distribuição | Anexos de e-mail infetados, anúncios online maliciosos, engenharia social, aplicações enganosas, sites fraudulentos. |
| Danos | Roubo de informações pessoais (mensagens privadas, logins/senhas, etc.), diminuição do desempenho do dispositivo, bateria descarregando rapidamente, diminuição da velocidade da Internet, enormes perdas de dados, perdas monetárias, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O BankBot é um malware Android furtivo que usa abuso de acessibilidade, verificações de dispositivos e tarefas persistentes para obter controlo total, roubar dados (incluindo de aplicações bancárias e de criptomoedas) e realizar fraudes financeiras remotas. Ele pode se esconder como aplicações confiáveis e silenciar o dispositivo para evitar a deteção.
Este malware pode causar problemas como sequestro de conta, roubo de identidade, perda monetária e outros problemas. Portanto, se um dispositivo for comprometido, ele deve ser verificado imediatamente usando uma ferramenta de segurança confiável. Alguns exemplos de outros malwares para Android são GhostGrab, Herodotus e ClayRat.
Como é que o BankBot RAT se infiltrou no meu dispositivo?
O BankBot é distribuído como um APK transferido lateralmente a partir de sites controlados por atacantes. O malware também pode entrar nos sistemas através de aplicações falsas em lojas de aplicações de terceiros, anúncios maliciosos, anúncios falsos e pop-ups em sites duvidosos, links em mensagens enganosas (ou e-mails) e canais semelhantes.
Geralmente, os cibercriminosos utilizam engenharia social ou técnicas semelhantes para induzir os utilizadores a descarregar e executar malware nos seus dispositivos.
Como evitar a instalação de malware?
Obtenha aplicações apenas de fontes confiáveis, como a Google Play Store ou sites oficiais, e verifique as classificações e avaliações. Evite clicar em links em e-mails, mensagens de texto ou mensagens de redes sociais suspeitos. Além disso, evite interagir com anúncios, links, pop-ups, etc., em páginas da web questionáveis.
Atualize regularmente o seu sistema operativo e as suas aplicações e utilize o Google Play Protect juntamente com uma aplicação de segurança fiável.
Uma tela falsa exibida pelo malware enquanto ele habilita permissões em segundo plano:
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android no "Modo de segurança"?
- Como verificar o uso da bateria por vários aplicativos?
- Como verificar o uso de dados de vários aplicativos?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações que têm privilégios de administrador?
Elimine o histórico de navegação do navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em «Limpar dados».
Desative as notificações do navegador no navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.
Desça até ver a opção «Definições do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção "Bloqueado" e não solicitará mais a sua permissão).
Reinicie o navegador Chrome:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Desça até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».
Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.
Elimine o histórico de navegação do navegador Firefox:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Desça até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».
Desative as notificações do navegador no navegador Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».
Na janela pop-up aberta, selecione a opção «Notificações» e toque em «APAGAR».
Reinicie o navegador Firefox:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».
Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão eliminados. Também terá de fazer login novamente em todos os sites.
Desinstale aplicações potencialmente indesejadas e/ou maliciosas:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Role para baixo até ver um aplicativo potencialmente indesejado e/ou malicioso, selecione-o e toque em "Desinstalar". Se, por algum motivo, não conseguir remover o aplicativo selecionado (por exemplo, se for exibida uma mensagem de erro), tente usar o "Modo de segurança".
Inicie o dispositivo Android no «Modo de segurança»:
O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).
Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.
Verifique o uso da bateria por várias aplicações:
Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.
Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.
Verifique o uso de dados de vários aplicativos:
Vá para «Definições», desça até ver «Ligações» e toque nessa opção.
Role para baixo até ver «Utilização de dados» e selecione essa opção. Assim como acontece com a bateria, os aplicativos legítimos/genuínos são projetados para minimizar a utilização de dados tanto quanto possível. Isso significa que uma utilização excessiva de dados pode indicar a presença de um aplicativo malicioso. Observe que alguns aplicativos maliciosos podem ser projetados para funcionar apenas quando o dispositivo está conectado a uma rede sem fio. Por esse motivo, você deve verificar a utilização de dados móveis e Wi-Fi.
Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instale as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.
Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.
Toque em «Transferir atualizações manualmente» e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações padrão do sistema e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para «Definições», desça até ver «Sobre o telefone» e toque nele.
Role para baixo até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
Repor definições" - repõe todas as definições do sistema para as predefinições;
"Repor definições de rede" - repõe todas as definições relacionadas com a rede para as predefinições;
"Repor dados de fábrica" - repor todo o sistema e eliminar completamente todos os dados armazenados;
Desative as aplicações que têm privilégios de administrador:
Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.
Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nessa opção.
Desça até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».
Perguntas frequentes (FAQ)
O meu dispositivo está infetado com o malware BankBot. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Formatar o dispositivo removerá o BankBot, mas também apagará todas as informações armazenadas. Como alternativa, pode verificar o dispositivo com um aplicativo antivírus confiável, como o Combo Cleaner, sem tomar medidas drásticas.
Quais são os maiores problemas que o malware pode causar?
O malware pode encriptar ficheiros, instalar ferramentas maliciosas adicionais, dar acesso remoto a invasores, roubar dados pessoais, danificar sistemas e, por fim, causar roubo de identidade, perdas financeiras, perda de dados e outros problemas.
Qual é o objetivo do BankBot?
O objetivo do BankBot é obter controlo total sobre dispositivos Android infetados para roubar informações confidenciais, como credenciais bancárias, chaves de criptomoedas, contactos, SMS e dados do dispositivo, e realizar ações não autorizadas, incluindo fraude financeira, apropriação de contas e manipulação remota de aplicações e do próprio dispositivo.
Como é que o BankBot se infiltrou no meu dispositivo?
O malware espalha-se principalmente através de APKs transferidos de sites controlados por atacantes, aplicações falsas em lojas de terceiros, anúncios maliciosos e links em mensagens enganosas.
O Combo Cleaner irá proteger-me contra malware?
O Combo Cleaner pode detetar e eliminar a maioria dos malwares conhecidos, mas ameaças avançadas podem estar ocultas no sistema, portanto, os utilizadores devem executar uma verificação completa do dispositivo para remover o malware sem deixar nenhum dos seus componentes no sistema.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários