Como eliminar o BeatBanker dos dispositivos Android

Que tipo de malware é o BeatBanker?

O BeatBanker é um malware para Android distribuído através de sites falsos que se fazem passar pela Google Play Store. Funciona como um trojan bancário que toma o controlo dos dispositivos e falsifica ecrãs, e como um minerador de criptomoedas. Se for detetado num dispositivo, o BeatBanker deve ser removido o mais rapidamente possível para evitar perdas financeiras e outras consequências.

Visão geral do BeatBanker

Quando o malware BeatBanker é executado pela primeira vez, verifica detalhes básicos da rede, tais como o endereço IP do dispositivo, se o dispositivo é um telemóvel, se o utilizador está a utilizar uma VPN e outras informações relacionadas com a rede. Em vez de guardar o seu código malicioso como ficheiros no telemóvel, o BeatBanker carrega o código diretamente na memória do dispositivo.

Como não são gravados ficheiros no dispositivo, é mais difícil para as aplicações de segurança detetarem o BeatBanker. Além disso, o malware verifica se está a ser executado num ambiente de teste ou de análise (por exemplo, um emulador). Se detetar tal situação, desliga-se imediatamente para evitar ser analisado.

Em seguida, o BeatBanker exibe uma página falsa que se assemelha à Google Play Store para a aplicação INSS Reembolso, alegando que está disponível uma atualização. Quando a vítima toca em «Atualizar», o malware solicita permissão para instalar aplicações e descarrega componentes maliciosos ocultos. Em vez de utilizar a verdadeira Google Play Store, instala esses ficheiros diretamente, recorrendo a permissões especiais.

Para se manter ativo, o malware mantém uma notificação falsa de atualização do sistema no ecrã e executa um serviço em primeiro plano com reprodução silenciosa de multimédia, o que ajuda a impedir que o sistema o interrompa. Além disso, quando a vítima clica em «Atualizar» no ecrã falso da Google Play Store, o malware descarrega secretamente um ficheiro que contém software de mineração de criptomoedas.

O cryptominer descarregado (uma versão modificada do XMRig) utiliza o processador do telemóvel da vítima para minerar criptomoedas em benefício dos atacantes. O BeatBanker pode verificar o nível da bateria, a temperatura e a atividade do utilizador do telemóvel para decidir quando executar ou parar o cryptominer.

Módulo Bancário

O BeatBanker utiliza um trojan bancário em conjunto com o minerador de criptomoedas. Tenta induzir a vítima a conceder permissões de acesso, o que permite aos cibercriminosos controlar a interface do dispositivo. O malware verifica quais as aplicações que estão abertas e tem como alvo a Binance e a Trust Wallet (concentrando-se nas transações em USDT).

Quando a vítima tenta enviar fundos, o sistema sobrepõe uma página falsa ao ecrã da transação e altera secretamente o endereço do destinatário para o do operador. Quando estas técnicas são utilizadas, os cibercriminosos procuram induzir as vítimas a acreditar que estão a enviar criptomoedas para o endereço que forneceram, mas, na realidade, as criptomoedas são enviadas para os autores do ataque.

Além disso, o módulo bancário do BeatBanker verifica se o Brave, o Chrome, o Dolphin Browser, o DuckDuckGo, o Edge, o Firefox, o Opera e o sBrowser estão instalados. Em seguida, recolhe os sites que a vítima visita e pode gerir os links guardados no navegador predefinido (adicionar, editar, eliminar, listar) e abrir links fornecidos pelos atacantes.

Comandos suportados

O BeatBanker pode receber comandos do servidor C2 e realizar várias ações maliciosas no dispositivo infetado. Pode apresentar falsas atualizações de software, bloquear o ecrã, capturar dados da área de transferência, listar gravações de áudio (e enviá-las aos cibercriminosos), abrir links nos navegadores, atualizar credenciais de início de sessão e enviar SMS.

Além disso, pode apagar todos os dados (efectuar uma reposição de fábrica), eliminar ficheiros ou desinstalar-se a si próprio. O BeatBanker também pode registar o que o utilizador digita, ler texto no ecrã, capturar capturas de ecrã e transmitir o ecrã em tempo real. Adicionalmente, pode monitorizar aplicações, bloquear ou permitir aplicações através de uma firewall integrada, criar notificações persistentes e controlar uma ligação VPN.

É importante referir que o BeatBanker pode solicitar várias autorizações, tais como acesso a funcionalidades de acessibilidade, a capacidade de sobrepor-se a outras aplicações e a autorização para instalar aplicações de fontes desconhecidas. Com estas autorizações, pode tocar ou deslizar automaticamente no ecrã, abrir links, executar códigos USSD e instalar aplicações adicionais.

Nova variante

Existe uma nova variante do BeatBanker, disfarçada como uma aplicação falsa do StarLink, que também tem como alvo os utilizadores de Android. Esta versão inclui igualmente um minerador de criptomoedas, mas não instala o trojan bancário. Em vez disso, instala o trojan de administração remota (RAT) BTMOB. O BTMOB permite aos atacantes controlar totalmente os dispositivos infetados e é comercializado como Malware-as-a-Service (MaaS).

Conclusão

O BeatBanker é um malware para Android capaz de minerar criptomoedas, roubar informações bancárias e permitir o controlo remoto de dispositivos. Recorre a técnicas persistentes e a permissões ocultas para passar despercebido enquanto recolhe dados confidenciais e monitoriza a atividade do utilizador. Algumas variantes também instalam o BTMOB, concedendo aos atacantes acesso total e controlo a longo prazo sobre os dispositivos infetados.

Outros exemplos de malware que tem como alvo dispositivos Android são o Massiv, o PromptSpy e o Oblivion.

Como é que o BeatBanker se infiltrou no meu dispositivo?

O BeatBanker infeta dispositivos através de um site falso que se assemelha à Google Play Store. Os utilizadores são levados a instalar uma aplicação maliciosa disfarçada de «INSS Reembolso» ou de outra aplicação governamental falsa. O dispositivo fica infetado quando o utilizador instala a aplicação falsa. Uma vez ativo, o BeatBanker descarrega componentes adicionais, como um minerador de criptomoedas.

Como evitar a instalação de malware?

Mantenha o seu sistema operativo e as suas aplicações atualizados e descarregue software apenas de fontes fiáveis, como sites oficiais ou lojas de aplicações. Tenha cuidado com e-mails ou mensagens inesperadas e não clique em links nem abra anexos, a menos que tenha a certeza de que são seguros.

Enquanto navega, não clique em janelas pop-up, anúncios ou links em sites suspeitos e recuse pedidos de notificação provenientes de sites não confiáveis. Analise regularmente o seu dispositivo com software de segurança fiável para detetar e remover quaisquer ameaças potenciais.

Painel de administração do BeatBanker (fonte: securelist.com):

Sobreposições apresentadas pelo BeatBanker (fonte: securelist.com):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações no navegador Chrome?
• Como reiniciar o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações no navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como iniciar o dispositivo Android no «Modo de segurança»?
• Como verificar o consumo de bateria de várias aplicações?
• Como verificar o consumo de dados de várias aplicações?
• Como instalar as atualizações de software mais recentes?
• Como repor o sistema para as configurações padrão?
• Como desativar aplicações com privilégios de administrador?

Apagar o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.

Desça a página até ver a opção «Definições do site» e toque nela. Desça a página até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações no navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a esses sites para enviar notificações. No entanto, quando voltar a visitar o mesmo site, este poderá solicitar novamente a permissão. Pode optar por conceder ou não essas permissões (se optar por recusar, o site passará para a secção «Bloqueados» e deixará de lhe pedir a permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».

Toque em "GERIR ARMAZENAMENTO", depois em "APAGAR TODOS OS DADOS" e confirme a ação tocando em "OK". Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Apagar o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Desça a página até ver «Limpar dados privados» e toque nessa opção. Selecione os tipos de dados que pretende eliminar e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desativar as notificações do navegador no Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar definições do site».

Na janela pop-up que se abre, selecione a opção «Notificações» e toque em «APAGAR».

[Voltar ao menu]

Redefinir o navegador Firefox:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».

Toque em «APAGAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador e palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão "Ligar/Desligar" e mantenha-o pressionado até ver o ecrã "Desligar". Toque no ícone "Desligar" e mantenha-o pressionado. Após alguns segundos, a opção "Modo de segurança" aparecerá e poderá ativá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o consumo de bateria de várias aplicações:

Vá a «Definições», desça a página até ver «Manutenção do dispositivo» e toque nessa opção.

Toque em «Bateria» e verifique o consumo de cada aplicação. As aplicações legítimas/autênticas são concebidas para consumir o mínimo de energia possível, de modo a proporcionar a melhor experiência ao utilizador e a poupar energia. Por conseguinte, um consumo elevado de bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o consumo de dados de várias aplicações:

Vá a «Definições», desça a página até ver «Ligações» e toque nessa opção.

Desça a página até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/autênticas são concebidas para minimizar ao máximo a utilização de dados. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Tenha em atenção que algumas aplicações maliciosas podem ter sido concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados tanto na rede móvel como no Wi-Fi.

Se descobrir uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve certificar-se sempre de que o software do seu dispositivo está atualizado.

Vá a «Definições», desça a página até ver «Atualização de software» e toque nessa opção.

Toque em «Descarregar atualizações manualmente» e verifique se existem atualizações disponíveis. Se houver, instale-as imediatamente. Recomendamos também que ative a opção «Descarregar atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefina o sistema para o seu estado padrão:

Efetuar uma «Redefinição de fábrica» é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para os valores predefinidos e limpar o dispositivo em geral. No entanto, é importante ter em conta que todos os dados contidos no dispositivo serão apagados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.

Também pode restaurar as definições básicas do sistema e/ou apenas as definições de rede.

Vá a «Definições», desça a página até ver «Sobre o telemóvel» e toque nessa opção.

Desça a página até ver "Reiniciar" e toque nessa opção. Agora escolha a ação que pretende realizar:
"Redefinir definições" - restaura todas as definições do sistema para os valores predefinidos;
"Redefinir definições de rede" - restaura todas as definições relacionadas com a rede para os valores predefinidos;
"Redefinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações com privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de administrador, poderá causar graves danos ao sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não deveriam tê-los.

Vá a «Definições», desça a página até ver «Ecrã de bloqueio e segurança» e toque nessa opção.

Desça a página até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administrador do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em "DESATIVAR".

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware BeatBanker. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Esta ação irá remover o BeatBanker, mas também apagará todos os dados do dispositivo, pelo que só deve ser utilizada como último recurso. Antes de o fazer, recomenda-se que execute uma análise completa com um software de segurança de confiança, como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode tornar um dispositivo mais lento, provocar falhas no sistema, apagar ou encriptar ficheiros e instalar programas maliciosos adicionais. Também pode roubar informações pessoais, conceder aos atacantes acesso remoto ao sistema e realizar outras ações maliciosas.

Qual é o objetivo do BeatBanker?

O objetivo do BeatBanker é roubar criptomoedas, minerar criptomoedas utilizando o dispositivo da vítima e permitir aos atacantes o controlo remoto do dispositivo infetado.

Como é que o BeatBanker se infiltrou no meu dispositivo?

O BeatBanker costuma infiltrar-se num dispositivo quando um utilizador descarrega e instala uma aplicação falsa a partir de um site não oficial da Google Play Store. Estas aplicações fingem frequentemente ser serviços legítimos e utilizam atualizações falsas para induzir o utilizador a conceder permissões. Uma vez instalado, o malware é executado em segundo plano e descarrega componentes maliciosos adicionais.

O Combo Cleaner protege-me contra malware?

Sim, o Combo Cleaner consegue detetar e remover muitos tipos conhecidos de malware. No entanto, algumas ameaças avançadas podem estar profundamente ocultas no sistema, pelo que se recomenda a realização de uma verificação completa do sistema.