Como remover o trojan bancário Massiv

Que tipo de malware é o Massiv?

O Massiv é um trojan bancário que visa dispositivos Android. Permite que os autores das ameaças assumam o controlo dos telemóveis infetados e realizem transações fraudulentas a partir das contas bancárias das vítimas. Os cibercriminosos disfarçam o Massiv como aplicações de IPTV para enganar os utilizadores que procuram serviços de televisão online. Se for detetado num dispositivo, o Massiv deve ser removido o mais rapidamente possível.

Visão geral do Massiv

O trojan bancário Massiv pode roubar informações confidenciais exibindo ecrãs falsos, registando o que o utilizador digita (esta técnica é conhecida como keylogging) e lendo mensagens (mensagens SMS push). Além disso, permite que os atacantes controlem totalmente o dispositivo infetado à distância.

O Massiv utiliza ataques de sobreposição para induzir os utilizadores a revelarem informações pessoais. Quando a vítima abre uma aplicação visada, o malware apresenta um ecrã falso que se assemelha ao verdadeiro. Este ecrã falso solicita ao utilizador que introduza dados de início de sessão, números de cartão de crédito ou outras informações confidenciais, que os atacantes posteriormente roubam.

Em ataques dirigidos a utilizadores em Portugal, verificou-se que o Massiv tentou roubar informações de uma aplicação governamental. Neste caso, o malware solicitava os números de telefone e os PIN dos utilizadores para contornar as verificações de identidade. Além disso, explora o Chave Móvel Digital, o sistema de identificação digital do país, para aceder a serviços online e bancários, permitindo aos cibercriminosos realizar transações fraudulentas.

Verificou-se também que os autores das ameaças utilizaram dispositivos infetados para abrir novas contas bancárias em nome das vítimas, sem o seu conhecimento. Conseguiram controlar essas contas e podem utilizá-las para branquear dinheiro, contrair empréstimos ou levantar dinheiro.

Controlo remoto

Para além de roubar credenciais através de sobreposições e registo de teclas, o Massiv concede aos atacantes acesso remoto total ao dispositivo infetado. Utilizando o AccessibilityService do Android e a sua funcionalidade FuncVNC, o malware permite-lhes visualizar e controlar o dispositivo em tempo real. A comunicação é feita através de um canal WebSocket, que suporta a transmissão ao vivo do ecrã e o modo «UI-tree» para interagir com a interface.

Algumas aplicações bloqueiam a gravação do ecrã, pelo que o Massiv utiliza o modo «UI-tree». Este modo analisa os elementos da aplicação e cria um modelo que mostra o texto visível, os botões, os campos de introdução de dados e as funcionalidades interativas. Isto permite aos atacantes compreender o layout e automatizar ações no dispositivo sem depender de capturas de ecrã.

Comandos suportados

O Massiv suporta vários comandos remotos. Através deste malware, os atacantes podem realizar ações como premir os botões «Voltar», «Início» ou «Recentes», ativar o dispositivo, abrir o menu de energia, clicar ou deslizar no ecrã, digitar texto ou desbloquear o telemóvel com um padrão.

Os cibercriminosos também podem ativar uma sobreposição de ecrã preto para ocultar a atividade, silenciar sons e vibrações, ativar ou desativar a transmissão do ecrã e visualizar ou gerir ficheiros no dispositivo. Outros comandos permitem que o malware exiba ecrãs falsos (sobreposições) para aplicações, o padrão de bloqueio do dispositivo ou a introdução do PIN, com o objetivo de roubar credenciais.

Além disso, o Massiv pode apresentar notificações push, alterar o conteúdo da área de transferência, descarregar e instalar ficheiros APK, desinstalar aplicações e descarregar ficheiros ou arquivos ZIP a partir do dispositivo. Adicionalmente, pode recolher informações do dispositivo, guardar endereços de servidores de cópia de segurança e limpar registos.

O Massiv também pode obrigar a vítima a aceder às definições do sistema para conceder permissões como «Administrador do dispositivo», acesso a SMS, acesso a ficheiros, permissões de notificação, isenções de otimização da bateria, permissão para instalar aplicações desconhecidas e definições do Play Protect.

Conclusão

O Massiv é um exemplo de malware bancário avançado para Android que fornece aos atacantes várias ferramentas para roubar informações e controlar os dispositivos infetados. Ter um dispositivo infetado com o Massiv pode ter consequências graves, tais como roubo de identidade, perdas financeiras, violações de privacidade, perturbações no funcionamento do dispositivo e muito mais.

Isto realça a importância de se ter cuidado ao instalar aplicações e de proteger os dispositivos móveis contra ameaças. Outros exemplos de malware para Android são o Oblivion RAT, o ZeroDayRAT e o Arsink.

Como é que o Massiv se infiltrou no meu dispositivo?

O Massiv é distribuído disfarçado como uma aplicação de IPTV e está alojado fora da Google Play Store oficial. Os cibercriminosos criam sites falsos ou versões falsas de aplicações de IPTV para induzir os utilizadores a instalar uma aplicação maliciosa. Uma vez instalada, a interface da aplicação pode parecer um site normal de IPTV, mas o malware já está a ser executado em segundo plano.

Como evitar a instalação de malware?

Instale apenas software proveniente de fontes fiáveis, como sites oficiais ou lojas de aplicações conhecidas, e mantenha o seu sistema operativo e as suas aplicações atualizados. Tenha cuidado com e-mails ou mensagens inesperadas e não abra anexos ou links sem verificar se são seguros.

Efetue verificações regulares utilizando software de segurança fiável para detetar e remover possíveis ameaças. Ao navegar, evite anúncios, janelas pop-up ou links suspeitos em sites não verificados e recuse pedidos de notificação provenientes de sites duvidosos.

Sobreposição falsa apresentada pela Massiv (fonte: threatfabric.com):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações no navegador Chrome?
• Como reiniciar o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações no navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como iniciar o dispositivo Android no «Modo de Segurança»?
• Como verificar o consumo de bateria de várias aplicações?
• Como verificar o consumo de dados de várias aplicações?
• Como instalar as atualizações de software mais recentes?
• Como repor o sistema para o estado predefinido?
• Como desativar aplicações com privilégios de administrador?

Apagar o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.

Deslize para baixo até ver a opção «Definições do site» e toque nela. Deslize para baixo até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações no navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a esses sites para enviar notificações. No entanto, quando voltar a visitar o mesmo site, este poderá solicitar novamente a permissão. Pode optar por conceder ou não essas permissões (se optar por recusar, o site passará para a secção «Bloqueados» e deixará de lhe pedir a permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».

Toque em "GERIR ARMAZENAMENTO", depois em "APAGAR TODOS OS DADOS" e confirme a ação tocando em "OK". Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Apagar o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Desça a página até ver «Limpar dados privados» e toque nessa opção. Selecione os tipos de dados que pretende eliminar e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desativar as notificações do navegador no Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar definições do site».

Na janela pop-up que se abre, selecione a opção «Notificações» e toque em «APAGAR».

[Voltar ao menu]

Redefinir o navegador Firefox:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".

Toque em «APAGAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador e palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão "Ligar/Desligar" e mantenha-o pressionado até ver o ecrã "Desligar". Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá ativá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o consumo de bateria de várias aplicações:

Vá a «Definições», desça a página até ver «Manutenção do dispositivo» e toque nessa opção.

Toque em «Bateria» e verifique o consumo de cada aplicação. As aplicações legítimas/autênticas são concebidas para consumir o mínimo de energia possível, de modo a proporcionar a melhor experiência ao utilizador e a poupar energia. Por conseguinte, um consumo elevado de bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o consumo de dados de várias aplicações:

Vá a «Definições», desça a página até ver «Ligações» e toque nessa opção.

Desça a página até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/autênticas são concebidas para minimizar ao máximo a utilização de dados. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Tenha em atenção que algumas aplicações maliciosas podem ter sido concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados tanto em rede móvel como em Wi-Fi.

Se descobrir uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve certificar-se sempre de que o software do seu dispositivo está atualizado.

Vá a «Definições», desça a página até ver «Atualização de software» e toque nessa opção.

Toque em «Descarregar atualizações manualmente» e verifique se existem atualizações disponíveis. Se houver, instale-as imediatamente. Recomendamos também que ative a opção «Descarregar atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefina o sistema para o seu estado padrão:

Efetuar uma «Redefinição de fábrica» é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para os valores predefinidos e limpar o dispositivo em geral. No entanto, deve ter em conta que todos os dados contidos no dispositivo serão apagados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.

Também pode restaurar as definições básicas do sistema e/ou apenas as definições de rede.

Vá a «Definições», desça a página até ver «Sobre o telemóvel» e toque nessa opção.

Desça a página até ver "Reiniciar" e toque nessa opção. Agora escolha a ação que pretende realizar:
"Redefinir definições" - restaura todas as definições do sistema para os valores predefinidos;
"Redefinir definições de rede" - restaura todas as definições relacionadas com a rede para os valores predefinidos;
"Redefinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações com privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de administrador, poderá causar graves danos ao sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não deveriam tê-los.

Vá a «Definições», desça a página até ver «Ecrã de bloqueio e segurança» e toque nessa opção.

Desça a página até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em "DESATIVAR".

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware Massiv. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Esta medida irá remover o Massiv, mas também apagará todos os dados, pelo que deve ser considerada apenas como último recurso. Antes de o fazer, recomenda-se que execute uma análise completa utilizando um software de segurança de confiança, como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode tornar o seu dispositivo mais lento, provocar falhas no sistema, encriptar ou eliminar ficheiros, instalar aplicações maliciosas adicionais, permitir o acesso remoto a cibercriminosos, aceder às suas informações pessoais e realizar outras ações.

Qual é o objetivo do trojan bancário Massiv?

Este malware rouba dados confidenciais através da utilização de ecrãs falsos, registo de teclas e leitura de mensagens SMS, levando os utilizadores a revelar credenciais bancárias e informações pessoais. Proporciona aos atacantes controlo remoto total sobre os dispositivos infetados, permitindo-lhes manipular aplicações, abrir contas, efetuar transações e gerir ficheiros em tempo real.

O Massiv também pode obrigar as vítimas a concederem permissões específicas, a instalarem aplicações adicionais e a ocultarem a sua atividade, para realizar ações fraudulentas sem serem detetadas.

Como é que o Massiv se infiltrou no meu dispositivo?

O Massiv infiltra-se nos dispositivos fingindo ser uma aplicação de IPTV e é distribuído fora da Google Play Store oficial. Os atacantes criam sites falsos ou versões falsificadas de aplicações de IPTV para induzir os utilizadores a instalar a aplicação maliciosa. Embora a aplicação possa parecer apresentar um site normal de IPTV, o malware é executado secretamente em segundo plano.

O Combo Cleaner protege-me contra malware?

Sim, o Combo Cleaner é capaz de detetar e eliminar a maioria dos programas maliciosos conhecidos. Uma vez que as ameaças mais sofisticadas podem estar profundamente enraizadas no sistema, recomenda-se a realização de uma verificação completa para garantir que todos os elementos maliciosos sejam detetados e removidos.