Como remover o Perseus de dispositivos infetados
TrojanTambém conhecido como: Trojan de acesso remoto Perseus
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o Perseus?
O Perseus é um malware para Android criado a partir de componentes de malwares anteriores (como o Cerberus e o Phoenix) e atualizado com novas funcionalidades. Permite aos atacantes monitorizar e controlar um dispositivo infetado em tempo real. O malware inclui proteções robustas para evitar a deteção e a análise por parte de ferramentas de segurança.
Perseu em pormenor
O código-fonte do malware original, o Cerberus, foi divulgado em 2020, o que permitiu que outros atacantes o reutilizassem e modificassem. Isso levou ao surgimento de novas famílias de malware, como o Ermac e o Phoenix. O Perseus baseia-se principalmente no Phoenix. Existem duas versões do malware: uma mais antiga e outra mais recente (que se está atualmente a propagar).
Um utiliza o inglês no código, enquanto o outro utiliza o turco. A versão em inglês possui funcionalidades de desenvolvimento adicionais e foi provavelmente programada com recurso a inteligência artificial, enquanto a versão em turco é mais simples e mais discreta.
Evitar a avaliação e a análise de dispositivos
O Perseus verifica o dispositivo para determinar se se trata de um telemóvel real ou de um ambiente de análise/sandbox. Procura por elementos como acesso root, ferramentas de depuração, emuladores ou configurações falsas do dispositivo. Verifica também características realistas, tais como um cartão SIM, aplicações instaladas, sensores, comportamento da bateria, Bluetooth e os Serviços do Google Play. Em seguida, partilha os resultados com os cibercriminosos para que estes decidam se vale a pena atacar o dispositivo.
Informações específicas
O Perseus possui uma funcionalidade que lhe permite ler notas guardadas num dispositivo infetado. Ao contrário do malware típico, que se concentra no roubo de palavras-passe ou mensagens, este visa notas pessoais, que podem conter informações confidenciais, como palavras-passe ou dados financeiros. Numa das suas versões, utiliza um comando que deteta aplicações de anotações, abre-as e analisa as notas guardadas.
As aplicações de anotações visadas incluem ColorNote Notepad Notes, Evernote - Note Organizer, Google Keep - Notes and Lists, Microsoft OneNote, Samsung Notes, Simple Notes, Simple Notes Pro e Xiaomi Notes (a lista pode incluir mais aplicações). Para roubar informações das anotações, o malware utiliza as funcionalidades de acessibilidade do Android.
Consegue navegar pela aplicação em questão, tocar em elementos e voltar atrás. Isto permite-lhe abrir aplicações de notas, ler as notas e registar a informação sem que o utilizador se aperceba.
Outras funcionalidades
O Perseus suporta vários comandos. Através deste malware, os cibercriminosos podem tocar, premir, digitar e deslizar no ecrã, abrir aplicações, voltar atrás e navegar pelo telemóvel (ecrã inicial, aplicações recentes, deslocamento, gestos). Também podem digitar texto em campos, editar texto e até ativar o ecrã se este estiver desligado.
Além disso, os atacantes podem assumir o controlo do dispositivo remotamente, iniciando e interrompendo sessões de ecrã ao vivo (VNC e HVNC) e capturando imagens do ecrã para ver o que a vítima está a fazer. O Perseus também permite que os autores das ameaças ocultem a sua atividade, exibindo um ecrã preto e silenciando o som.
Além disso, o Perseus pode bloquear ou desbloquear aplicações, iniciar aplicações e até orientar o utilizador para ativar configurações como a instalação de aplicações de fontes desconhecidas. Pode tentar desbloquear o dispositivo utilizando códigos PIN ou recuperar informações de desbloqueio, e pode gravar e reproduzir gestos.
Além disso, o malware pode roubar informações alterando a área de transferência e acedendo às permissões de SMS. Pode enviar notificações, ativar ou desativar funcionalidades adicionais e verificar o seu estado.
| Nome | Trojan de acesso remoto Perseus |
| Tipo de ameaça | Malware para Android |
| Nomes de deteção | Avast (Android:Cerberus-EP [Bank]), Combo Cleaner (Android.Riskware.Dropper.aAFO), ESET-NOD32 (Android/Spy.Cerberus.M Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Cebruser.f), Lista completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as definições do sistema são alteradas sem a autorização do utilizador, surgem aplicações suspeitas, o consumo de dados e de bateria aumenta significativamente, os navegadores redirecionam para sites suspeitos e são exibidos anúncios intrusivos. |
| Métodos de distribuição | Lojas de aplicações/sites não oficiais, aplicações de IPTV falsas |
| Danos | Roubo de informações pessoais (mensagens privadas, nomes de utilizador/palavras-passe, etc.), diminuição do desempenho do dispositivo, esgotamento rápido da bateria, diminuição da velocidade da Internet, perdas significativas de dados, prejuízos financeiros, roubo de identidade. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O Perseus é um malware para Android altamente avançado, capaz de assumir o controlo de um dispositivo e roubar informações confidenciais. A sua capacidade de monitorizar, controlar e ocultar a sua atividade torna-o especialmente perigoso. As vítimas podem sofrer consequências como perdas financeiras e roubo de identidade. Se estiver presente num dispositivo, o Perseus deve ser eliminado imediatamente.
Outros exemplos de malware que tem como alvo os utilizadores do Android são o BeatBanker, o Massiv e o PromptSpy.
Como é que o Perseus se infiltrou no meu dispositivo?
Os utilizadores ficam infetados com o Perseus principalmente ao descarregarem aplicações de IPTV falsas fora das lojas oficiais, como a Google Play. Estas aplicações são frequentemente partilhadas como ficheiros APK, que os utilizadores instalam manualmente, facilitando a propagação do malware.
Depois de instalado, o programa instala secretamente o malware utilizando um dropper para contornar as proteções de segurança do Android.
Como evitar a instalação de malware?
Descarregue aplicações e software de fontes fiáveis, como sites oficiais ou lojas de aplicações, e mantenha o seu sistema operativo e as suas aplicações atualizados. Evite clicar em janelas pop-up, anúncios ou links em sites suspeitos e não aceite pedidos de notificação de sites não confiáveis.
Tenha cuidado com e-mails ou mensagens inesperadas — não abra links nem anexos, a menos que tenha a certeza de que são seguros. Utilize regularmente software de segurança fiável para analisar o seu dispositivo e ajudar a detetar ou remover ameaças.
Um dropper utilizado para instalar o Perseus (fonte: threatfabric.com):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações no navegador Chrome?
- Como reiniciar o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações no navegador Firefox?
- Como redefinir o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como iniciar o dispositivo Android no «Modo de segurança»?
- Como verificar o consumo de bateria de várias aplicações?
- Como verificar o consumo de dados de várias aplicações?
- Como instalar as atualizações de software mais recentes?
- Como repor o sistema para o estado predefinido?
- Como desativar aplicações com privilégios de administrador?
Apagar o histórico de navegação do navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.
Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".
Desativar as notificações do navegador no Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.
Deslize para baixo até ver a opção «Definições do site» e toque nela. Deslize para baixo até ver a opção «Notificações» e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a esses sites para enviar notificações. No entanto, quando voltar a visitar o mesmo site, este poderá solicitar novamente a permissão. Pode optar por conceder ou não essas permissões (se optar por recusar, o site passará para a secção «Bloqueados» e deixará de lhe pedir a permissão).
Reinicie o navegador Chrome:
Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.
Desça a página até encontrar a aplicação "Chrome", selecione-a e toque na opção "Armazenamento".
Toque em "GERIR ARMAZENAMENTO", depois em "APAGAR TODOS OS DADOS" e confirme a ação tocando em "OK". Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.
Apagar o histórico de navegação do navegador Firefox:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.
Desça a página até ver «Limpar dados privados» e toque nessa opção. Selecione os tipos de dados que pretende eliminar e toque em «LIMPAR DADOS».
Desativar as notificações do navegador no Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de endereços (o ícone não será necessariamente um «Cadeado») e selecione «Editar definições do site».
Na janela pop-up que se abre, selecione a opção «Notificações» e toque em «APAGAR».
Redefinir o navegador Firefox:
Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.
Desça a página até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".
Toque em «APAGAR DADOS» e confirme a ação tocando em «APAGAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador e palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.
Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:
Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.
Desça a página até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o "Modo de segurança".
Inicie o dispositivo Android no «Modo de segurança»:
O «Modo de segurança» do sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).
Pressione o botão "Ligar/Desligar" e mantenha-o pressionado até ver o ecrã "Desligar". Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá ativá-la reiniciando o dispositivo.
Verifique o consumo de bateria de várias aplicações:
Vá a «Definições», desça a página até ver «Manutenção do dispositivo» e toque nessa opção.
Toque em «Bateria» e verifique o consumo de cada aplicação. As aplicações legítimas/autênticas são concebidas para consumir o mínimo de energia possível, de modo a proporcionar a melhor experiência ao utilizador e a poupar energia. Por conseguinte, um consumo elevado de bateria pode indicar que a aplicação é maliciosa.
Verifique o consumo de dados de várias aplicações:
Vá a «Definições», desça a página até ver «Ligações» e toque nessa opção.
Desça a página até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/autênticas são concebidas para minimizar ao máximo a utilização de dados. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Tenha em atenção que algumas aplicações maliciosas podem ter sido concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados tanto em rede móvel como em Wi-Fi.
Se descobrir uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instale as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve certificar-se sempre de que o software do seu dispositivo está atualizado.
Vá a «Definições», desça a página até ver «Atualização de software» e toque nessa opção.
Toque em «Descarregar atualizações manualmente» e verifique se existem atualizações disponíveis. Se houver, instale-as imediatamente. Recomendamos também que ative a opção «Descarregar atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.
Redefina o sistema para o seu estado padrão:
Efetuar uma «Redefinição de fábrica» é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para os valores predefinidos e limpar o dispositivo em geral. No entanto, é importante ter em conta que todos os dados contidos no dispositivo serão apagados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.
Também pode restaurar as definições básicas do sistema e/ou apenas as definições de rede.
Vá a «Definições», desça a página até ver «Sobre o telemóvel» e toque nessa opção.
Desça a página até ver "Repor" e toque nessa opção. Agora escolha a ação que pretende realizar:
"Repor definições" - restaura todas as definições do sistema para os valores predefinidos;
"Redefinir definições de rede" - restaura todas as definições relacionadas com a rede para os valores predefinidos;
"Redefinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;
Desativar aplicações com privilégios de administrador:
Se uma aplicação maliciosa obtiver privilégios de administrador, poderá causar graves danos ao sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não deveriam tê-los.
Vá a «Definições», desça a página até ver «Ecrã de bloqueio e segurança» e toque nessa opção.
Desça a página até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em "DESATIVAR".
Perguntas frequentes (FAQ)
O meu dispositivo está infetado com o malware Perseus. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
A limpeza do dispositivo é uma das formas mais eficazes de remover malware. No entanto, isso elimina todos os dados (se não tiverem sido guardados numa cópia de segurança). É aconselhável tentar primeiro remover o Perseus com uma ferramenta como o Combo Cleaner.
Quais são os maiores problemas que o malware pode causar?
O malware pode causar problemas graves, como o roubo de dados pessoais, a tomada de controlo do seu dispositivo, a danificação ou eliminação de ficheiros, e pode resultar em prejuízos financeiros ou roubo de identidade.
Qual é o objetivo do Perseus?
O objetivo do Perseus é roubar informações confidenciais. Permite aos atacantes monitorizar o dispositivo, capturar os dados introduzidos pelo utilizador e aceder a dados pessoais, como notas, palavras-passe e mensagens. Também permite controlar totalmente o dispositivo à distância e ocultar a sua atividade à vítima.
Como é que o Perseus se infiltrou no meu dispositivo?
Os utilizadores são infetados com o Perseus principalmente ao descarregarem aplicações de IPTV falsas fora das lojas de aplicações oficiais, como a Google Play. Estas aplicações são normalmente distribuídas como ficheiros APK. Após a instalação, é utilizado um dropper para instalar secretamente o malware e contornar as proteções de segurança do Android.
O Combo Cleaner protege-me contra malware?
Sim, o Combo Cleaner consegue detetar e remover a maioria das infeções por malware conhecidas. No entanto, o malware mais sofisticado pode esconder-se nas profundezas do sistema. É por isso que é necessário realizar uma verificação completa do sistema para garantir a deteção e a remoção.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários