Como remover o PromptSpy de dispositivos infetados

Que tipo de malware é o PromptSpy?

O PromptSpy é um malware para Android que utiliza IA generativa para garantir a sua persistência. Recorre ao Google Gemini para analisar o que aparece no ecrã do dispositivo infetado e determinar como permanecer ativo na lista de aplicações recentes. Isto ajuda o malware a continuar a funcionar em segundo plano. O seu principal objetivo é instalar um cliente VNC que permite aos atacantes visualizar o ecrã e controlar o dispositivo remotamente.

O PromptSpy em detalhe

O PromptSpy inclui um dropper e uma carga útil que faz uso indevido do Google Gemini. Ele utiliza o Google Gemini para interagir com o ecrã do telemóvel. Em vez de recorrer a scripts fixos que podem falhar em diferentes dispositivos, envia ao Gemini informações sobre o que está atualmente a ser exibido no ecrã. O Gemini analisa os elementos do ecrã e devolve instruções sobre onde tocar ou que ação realizar. Isto ajuda o malware a manter-se ativo, permanecendo na lista de aplicações recentes mesmo que o utilizador tente fechá-lo.

Além disso, o PromptSpy inclui uma ferramenta VNC que permite aos atacantes obter controlo remoto total sobre um telemóvel infetado assim que a vítima ativar os Serviços de Acessibilidade. Isto permite aos atacantes visualizar o ecrã e realizar ações como toques, deslizes, gestos e digitação.

O PromptSpy utiliza IA para manter a sua aplicação fixada na lista de aplicações recentes. Isto ajuda o malware a permanecer em execução em segundo plano, para que não seja facilmente encerrado. É provável que esta funcionalidade seja utilizada antes de os cibercriminosos iniciarem a sessão de controlo remoto. Desta forma, a aplicação permanece ativa e é menos provável que o sistema ou a vítima a interrompa.

Além disso, o PromptSpy utiliza indevidamente os Serviços de Acessibilidade para impedir que os utilizadores o removam. Quando a vítima tenta desinstalar a aplicação ou desativar os Serviços de Acessibilidade, o malware apresenta caixas invisíveis sobre botões como «Parar», «Limpar» ou «Desinstalar». Estas camadas ocultas bloqueiam os toques da vítima, impedindo que os botões sejam pressionados.

Depois de o malware se ligar a um servidor remoto de comando e controlo, pode receber instruções que lhe permitem recolher informações como as aplicações instaladas e ativas, tirar capturas de ecrã, gravar o ecrã e recolher detalhes do ecrã de bloqueio. Também pode gravar o padrão de desbloqueio e detetar se o ecrã está ligado.

Conclusão

O PromptSpy é um exemplo de como os cibercriminosos começaram a utilizar ferramentas de IA, como o Google Gemini, para tornar o malware mais eficaz e mais difícil de neutralizar. Ao combinar a interação com o ecrã assistida por IA com capacidades de controlo remoto, os autores das ameaças conseguem manter o malware ativo e gerir os dispositivos infetados com maior facilidade.

Outros exemplos de malware que tem como alvo dispositivos Android são o Oblivion RAT, o ZeroDayRAT e o Arsink.

Como é que o PromptSpy se infiltrou no meu dispositivo?

Os cibercriminosos distribuem o PromptSpy através de sites maliciosos que imitam sites bancários legítimos. As páginas utilizam a identidade visual e o texto dos bancos para parecerem legítimas. Estes sites hospedam aplicações Android maliciosas que se fazem passar por aplicações bancárias oficiais. Quando uma vítima instala uma dessas aplicações, esta atua como um «dropper» para instalar o malware.

É solicitado à vítima que autorize a instalação a partir de fontes desconhecidas, algo que o Android normalmente bloqueia por motivos de segurança. Após a concessão da autorização, o dropper contacta um servidor remoto e obtém um ficheiro de configuração que contém um link para descarregar a carga útil do PromptSpy.

A carga útil é descarregada como um outro ficheiro APK e apresentada como uma atualização falsa. Uma vez instalada, solicita permissões para os Serviços de Acessibilidade e instala os seus componentes maliciosos, incluindo o módulo VNC de controlo remoto.

Como evitar a instalação de malware?

Certifique-se de que o seu sistema operativo e as suas aplicações estão sempre atualizados e descarregue software apenas a partir de sites oficiais ou lojas de aplicações de confiança. Evite clicar em anúncios, janelas pop-up ou links suspeitos em sites duvidosos e recuse pedidos de notificações provenientes desses sites.

Tenha cuidado com e-mails ou mensagens inesperadas — evite abrir links ou anexos neles contidos, a menos que tenha a certeza de que não são maliciosos. Utilize software de segurança de confiança para realizar análises regulares que permitam detetar e remover potenciais ameaças.

O PromptSpy pede à vítima para ativar os Serviços de Acessibilidade (fonte: welivesecurity.com):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações no navegador Chrome?
• Como reiniciar o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações no navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como iniciar o dispositivo Android no «Modo de Segurança»?
• Como verificar o consumo de bateria de várias aplicações?
• Como verificar o consumo de dados de várias aplicações?
• Como instalar as atualizações de software mais recentes?
• Como repor o sistema para o estado predefinido?
• Como desativar aplicações com privilégios de administrador?

Apagar o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.

Deslize para baixo até ver a opção «Definições do site» e toque nela. Deslize para baixo até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações no navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a esses sites para enviar notificações. No entanto, quando voltar a visitar o mesmo site, este poderá solicitar novamente a permissão. Pode optar por conceder ou não essas permissões (se optar por recusar, o site passará para a secção «Bloqueados» e deixará de lhe pedir a permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».

Toque em "GERIR ARMAZENAMENTO", depois em "APAGAR TODOS OS DADOS" e confirme a ação tocando em "OK". Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Apagar o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Desça a página até ver «Limpar dados privados» e toque nessa opção. Selecione os tipos de dados que pretende eliminar e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desativar as notificações do navegador no Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar definições do site».

Na janela pop-up que se abre, selecione a opção «Notificações» e toque em «APAGAR».

[Voltar ao menu]

Redefinir o navegador Firefox:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".

Toque em «APAGAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador e palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão "Ligar/Desligar" e mantenha-o pressionado até ver o ecrã "Desligar". Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá ativá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o consumo de bateria de várias aplicações:

Vá a «Definições», desça a página até ver «Manutenção do dispositivo» e toque nessa opção.

Toque em «Bateria» e verifique o consumo de cada aplicação. As aplicações legítimas/autênticas são concebidas para consumir o mínimo de energia possível, de modo a proporcionar a melhor experiência ao utilizador e a poupar energia. Por conseguinte, um consumo elevado de bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o consumo de dados de várias aplicações:

Vá a «Definições», desça a página até ver «Ligações» e toque nessa opção.

Desça a página até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/autênticas são concebidas para minimizar ao máximo a utilização de dados. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Tenha em atenção que algumas aplicações maliciosas podem ter sido concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados tanto em rede móvel como em Wi-Fi.

Se descobrir uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve certificar-se sempre de que o software do seu dispositivo está atualizado.

Vá a «Definições», desça a página até ver «Atualização de software» e toque nessa opção.

Toque em «Descarregar atualizações manualmente» e verifique se existem atualizações disponíveis. Se houver, instale-as imediatamente. Recomendamos também que ative a opção «Descarregar atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefina o sistema para o seu estado padrão:

Efetuar uma «Redefinição de fábrica» é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para os valores predefinidos e limpar o dispositivo em geral. No entanto, deve ter em conta que todos os dados contidos no dispositivo serão apagados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.

Também pode restaurar as definições básicas do sistema e/ou apenas as definições de rede.

Vá a «Definições», desça a página até ver «Sobre o telemóvel» e toque nessa opção.

Desça a página até ver "Reiniciar" e toque nessa opção. Agora escolha a ação que pretende realizar:
"Redefinir definições" - restaura todas as definições do sistema para os valores predefinidos;
"Redefinir definições de rede" - restaura todas as definições relacionadas com a rede para os valores predefinidos;
"Redefinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações com privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de administrador, poderá causar graves danos ao sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não deveriam tê-los.

Vá a «Definições», desça a página até ver «Ecrã de bloqueio e segurança» e toque nessa opção.

Desça a página até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em "DESATIVAR".

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware PromptSpy. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Seguir este passo irá eliminar o PromptSpy, mas também apagará todos os dados, pelo que só deve ser utilizado como último recurso. É aconselhável realizar primeiro uma análise completa com um software de segurança fiável, como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode aceder aos seus dados pessoais, permitir que os atacantes assumam o controlo remoto do seu dispositivo, danificar (por exemplo, encriptar) ou apagar ficheiros, instalar mais aplicações maliciosas, reduzir a velocidade do sistema, provocar falhas e realizar outras atividades prejudiciais.

Qual é o objetivo do PromptSpy?

O objetivo do PromptSpy é proporcionar aos atacantes o controlo remoto de um dispositivo Android infetado, mantendo-se oculto e persistente. Além disso, recolhe informações confidenciais do dispositivo e impede que os utilizadores o removam facilmente.

Como é que o PromptSpy se infiltrou no meu dispositivo?

O PromptSpy propaga-se através de sites bancários falsos que alojam aplicações Android maliciosas. Quando uma vítima instala a aplicação e permite downloads de fontes desconhecidas, o malware descarrega a carga útil do PromptSpy sob a forma de uma atualização falsa. Em seguida, o malware solicita os Serviços de Acessibilidade e instala componentes como o módulo VNC de controlo remoto.

O Combo Cleaner protege-me contra malware?

Sim, o Combo Cleaner consegue detetar e remover a maioria dos programas maliciosos conhecidos. Uma vez que as ameaças avançadas podem estar profundamente ocultas no sistema, recomenda-se a execução de uma verificação completa para garantir que todos os componentes maliciosos sejam identificados e removidos.