Como remover o SeedSnatcher de dispositivos infetados

Que tipo de malware é o SeedSnatcher?

O SeedSnatcher é um malware para Android disfarçado como um aplicativo de criptomoedas chamado Coin (esse aplicativo funciona como um carregador). O malware é frequentemente distribuído através de canais do Telegram. Ele começa com solicitações de permissões básicas antes de obter acesso a ficheiros, contactos, registos de chamadas e outros dados privados. Os cibercriminosos utilizam-no principalmente para roubar detalhes de carteiras de criptomoedas e outros dados confidenciais.

SeedSnatcher em detalhe

Uma vez dentro, o malware começa por recolher informações sobre o dispositivo, tais como IDs do sistema, configurações de idioma, tamanho do ecrã, modelo de hardware, versão do Android e endereço IP público. Ele também verifica quais aplicações podem ser iniciadas automaticamente, com que frequência são utilizadas e se têm acesso a dados confidenciais, tais como armazenamento, contactos, SMS, registos de chamadas e estatísticas de utilização.

O SeedSnatcher foi concebido para funcionar nas versões Android 6 a 13, mas as suas funcionalidades de roubo também podem funcionar em versões mais recentes. Ele solicita várias permissões para aceder a um dispositivo e usa essas permissões para fins maliciosos. Se permitido, o SeedSnatcher pode ler, modificar e excluir ficheiros armazenados no dispositivo, incluindo documentos e fotos, permitindo que os invasores roubem dados confidenciais.

Além disso, o malware pode aceder a contactos, registos de chamadas e mensagens SMS, incluindo OTPs e códigos 2FA, que podem ser usados para comprometer contas bancárias ou de criptomoedas. Ele também pode ler e modificar as configurações do sistema, permitindo comprometer a segurança ou permanecer indetectável no dispositivo.

Além disso, o SeedSnatcher pode monitorar quais aplicações a vítima abre e usar isso para detectar quando aplicações bancárias ou de criptomoedas estão ativas. Isso permite que o malware roube credenciais e sobreponha telas falsas sobre aplicações legítimas. Isso envolve exibir sobreposições falsas que imitam telas de carteiras de criptomoedas e capturar frases de recuperação de carteiras.

Sabe-se que o malware é capaz de exibir páginas falsas da Binance Chain Wallet, Coinbase wallet, imToken, MetaMask, OKX Wallet, TokenPocket, TronGlobal, TronLink e Trust Wallet para roubar informações. O SeedSnatcher verifica cada palavra da frase-semente digitada pela vítima para garantir que seja uma frase de recuperação válida.

Isso evita erros e garante que os cibercriminosos obtenham uma frase-semente funcional que possam usar para invadir uma carteira de criptomoedas. Além disso, o SeedSnatcher pode aceder às informações armazenadas da conta, incluindo e-mails ou contas de redes sociais, e interagir com os dados associados a essas contas.

Além disso, o malware pode fazer com que o dispositivo solicite ao utilizador que desinstale um aplicativo específico escolhido pelos cibercriminosos, permitindo que eles removam aplicativos de segurança ou outros aplicativos. Outras capacidades incluem o envio secreto de mensagens de texto criadas por cibercriminosos e a verificação de todas as fotos na galeria do dispositivo. Ele identifica capturas de tela como importantes, permitindo que os agentes de ameaças as roubem rapidamente.

Conclusão

O SeedSnatcher é um malware Android altamente intrusivo que recolhe dados detalhados do dispositivo, abusa de permissões e rouba informações confidenciais, especialmente frases de recuperação de carteiras de criptomoedas. Pode causar problemas como sequestro de contas, roubo de criptomoedas e identidade, e problemas semelhantes.

Outros exemplos de malware direcionado a dispositivos Android são Albiriox, Sturnus e Landfall.

Como é que o SeedSnatcher se infiltrou no meu dispositivo?

O SeedSnatcher é promovido através de canais do Telegram e outras plataformas sociais, onde as vítimas são incentivadas a descarregar o APK (uma aplicação falsa chamada Coin). Cada link de descarregamento contém um ID único, permitindo que os atacantes rastreiem qual campanha ou promotor levou à instalação.

Outros possíveis vetores de infeção incluem comunidades falsas relacionadas com criptomoedas, publicações nas redes sociais, mensagens diretas contendo links APK e sites enganosos ou lojas de aplicações de terceiros (não oficiais).

Como evitar a instalação de malware?

Utilize sempre sites oficiais ou a Google Play Store para descarregar aplicações. Leia as avaliações antes de instalar aplicações. Certifique-se de que o seu dispositivo e as suas aplicações estão sempre atualizados e utilize uma aplicação de segurança fiável para verificar se existem ameaças. Evite abrir anexos ou clicar em links em e-mails ou mensagens que não esperava receber ou que não são relevantes.

Não confie em anúncios, links e pop-ups em sites suspeitos.

Pop-up falso da carteira OKX exibido pelo malware (fonte: cyfirma.com):

Formulário falso de importação apresentado pela SeedSnatcher (fonte: cyfirma):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações do navegador Chrome?
• Como redefinir o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações do navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como inicializar o dispositivo Android no "Modo de segurança"?
• Como verificar o uso da bateria por vários aplicativos?
• Como verificar o uso de dados de vários aplicativos?
• Como instalar as atualizações de software mais recentes?
• Como redefinir o sistema para o seu estado padrão?
• Como desativar aplicações que têm privilégios de administrador?

Elimine o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.

Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em «Limpar dados».

[Voltar ao menu]

Desative as notificações do navegador no navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.

Desça até ver a opção «Definições do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção "Bloqueado" e não solicitará mais a sua permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.

Desça até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».

Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Elimine o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.

Desça até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desative as notificações do navegador no navegador Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».

Na janela pop-up aberta, selecione a opção «Notificações» e toque em «APAGAR».

[Voltar ao menu]

Reinicie o navegador Firefox:

Vá para «Definições», desça até ver «Aplicações» e toque nela.

Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».

Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isso significa que todos os logins/senhas salvos, histórico de navegação, configurações não padrão e outros dados serão eliminados. Também terá de fazer login novamente em todos os sites.

[Voltar ao menu]

Desinstale aplicações potencialmente indesejadas e/ou maliciosas:

Vá para «Definições», desça até ver «Aplicações» e toque nela.

Role para baixo até ver um aplicativo potencialmente indesejado e/ou malicioso, selecione-o e toque em "Desinstalar". Se, por algum motivo, não conseguir remover o aplicativo selecionado (por exemplo, se for exibida uma mensagem de erro), tente usar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o uso da bateria por várias aplicações:

Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.

Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o uso de dados de vários aplicativos:

Vá para «Definições», desça até ver «Ligações» e toque nessa opção.

Role para baixo até ver «Utilização de dados» e selecione essa opção. Assim como acontece com a bateria, os aplicativos legítimos/genuínos são projetados para minimizar a utilização de dados tanto quanto possível. Isso significa que uma utilização excessiva de dados pode indicar a presença de um aplicativo malicioso. Observe que alguns aplicativos maliciosos podem ser projetados para funcionar apenas quando o dispositivo está conectado a uma rede sem fio. Por esse motivo, você deve verificar a utilização de dados móveis e Wi-Fi.

Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.

Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.

Toque em «Transferir atualizações manualmente» e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefinir o sistema para o seu estado padrão:

Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações padrão do sistema e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.

Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.

Vá para «Definições», desça até ver «Sobre o telefone» e toque nele.

Role para baixo até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
"Repor definições" - repõe todas as definições do sistema para as predefinições;
"Repor definições de rede" - repõe todas as definições relacionadas com a rede para as predefinições;
"Repor dados de fábrica" - repor todo o sistema e eliminar completamente todos os dados armazenados;

[Voltar ao menu]

Desative as aplicações que têm privilégios de administrador:

Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.

Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nessa opção.

Desça até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware SeedSnatcher. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Normalmente, não é necessário limpar completamente o seu dispositivo. Malwares como o SeedSnatcher podem ser eliminados com programas antivírus ou antimalware confiáveis, como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode realizar uma ampla gama de ações prejudiciais, dependendo do seu tipo. Ele pode roubar informações confidenciais, distribuir software malicioso adicional, encriptar ou eliminar ficheiros, tornar o sistema mais lento ou interromper o seu desempenho, além de realizar outras atividades. Além disso, o malware pode permitir o controlo remoto do dispositivo.

Qual é o objetivo do SeedSnatcher?

O objetivo do SeedSnatcher é roubar frases de recuperação de carteiras de criptomoedas (e outros dados relacionados com o login) e outras informações confidenciais (por exemplo, SMS, registos de chamadas, endereços IP e muito mais) de dispositivos Android. Os cibercriminosos utilizam o malware principalmente para cometer roubos de criptomoedas.

Como é que o SeedSnatcher se infiltrou no meu dispositivo?

O SeedSnatcher provavelmente entrou no seu dispositivo através do download de um aplicativo falso, frequentemente partilhado no Telegram, nas redes sociais ou em outras fontes não confiáveis. Ele se espalha como um APK disfarçado de aplicativo relacionado a criptomoedas, convencendo os utilizadores a instalá-lo manualmente.

O Combo Cleaner irá proteger-me contra malware?

Sim, o Combo Cleaner pode detetar e remover quase todos os malwares conhecidos. No entanto, os malwares avançados muitas vezes escondem-se profundamente no sistema, por isso é importante executar uma verificação completa do sistema.