Como remover o Oblivion RAT de dispositivos infetados

Que tipo de malware é o Oblivion RAT?

O Oblivion RAT é um trojan de acesso remoto que permite aos atacantes controlar dispositivos Android à distância. É comercializado como um «malware como serviço» (MaaS), com preços que variam entre 300 dólares por mês e 2 200 dólares por acesso vitalício. O serviço fornece ferramentas para criar aplicações infetadas, páginas de atualização falsas para induzir os utilizadores a instalá-las e um painel de controlo para gerir os dispositivos infetados.

Visão geral do Oblivion RAT

Os programadores do serviço por trás do Oblivion disponibilizam uma ferramenta chamada APK Builder para criar uma aplicação Android maliciosa. Os atacantes podem escolher o nome da aplicação, o ícone e o nome do pacote. No modo furtivo, a aplicação solicita imediatamente acesso às funcionalidades de acessibilidade, aprova automaticamente todas as permissões, oculta o seu ícone e não exibe qualquer ecrã visível.

No segundo modo, denominado «webview», a aplicação maliciosa abre um site com aparência legítima como isca, enquanto obtém secretamente as mesmas permissões em segundo plano. Além disso, o Oblivion pode ser programado para parecer encriptado quando, na realidade, não o está. No interior do ficheiro da aplicação, uma configuração técnica indica aos programas de análise que o ficheiro está encriptado.

Consequentemente, muitas ferramentas de segurança deixam de funcionar e apresentam um erro, indicando que não conseguem ler o conteúdo. No entanto, o ficheiro não está encriptado — normalmente está apenas comprimido. A falsa indicação de encriptação é adicionada para confundir as ferramentas automatizadas e dificultar a análise de segurança.

Funcionalidades

Depois de infetar um dispositivo e estabelecer ligação com o seu servidor de controlo, o Oblivion concede ao atacante um controlo remoto alargado sobre o telemóvel Android comprometido. O atacante pode visualizar e controlar o ecrã em tempo real. O malware também regista as teclas premidas e as ações do utilizador, incluindo quais as aplicações que estão a ser utilizadas e quando. Além disso, proporciona controlo total sobre as mensagens SMS.

Ao definir-se secretamente como o gestor de SMS predefinido, o malware consegue interceptar as mensagens de texto recebidas, incluindo senhas de uso único e códigos de autenticação de dois fatores, antes que o utilizador as veja. O atacante também pode enviar mensagens SMS a partir do número da vítima.

Outra funcionalidade do Oblivion verifica as aplicações instaladas e classifica-as em categorias como serviços bancários, criptomoedas, plataformas de comércio, empréstimos e serviços públicos. Isto permite ao atacante identificar contas financeiras valiosas e visá-las para fins de fraude ou roubo.

Conclusão

Em conclusão, o Oblivion é um trojan de acesso remoto para Android que permite aos atacantes controlar os dispositivos das vítimas. É capaz de interceptar mensagens confidenciais, como palavras-passe de uso único, e identificar aplicações financeiras valiosas, o que o torna uma grave ameaça tanto para os dados pessoais como para a segurança financeira.

Outros exemplos de RATs que têm como alvo dispositivos Android são o ZeroDayRAT, o Arsink e o Cellik.

Como é que o Oblivion RAT se infiltrou no meu dispositivo?

Os cibercriminosos disseminam o Oblivion através de engenharia social. Primeiro, distribuem uma aplicação dropper maliciosa através de plataformas de mensagens ou de encontros. Este dropper contém o malware principal num ficheiro comprimido e inclui páginas falsas que imitam o processo de atualização da Google Play.

A primeira página apresenta uma barra de download falsa e uma verificação de segurança falsa com mensagens que parecem legítimas. A segunda página imita uma página legítima de uma aplicação na Google Play Store. Apresenta um nome de programador falso, uma classificação de utilizadores e um botão «Atualizar» para parecer fiável.

Quando a vítima toca neste botão, inicia-se a instalação do malware de segunda fase, que se encontra oculto. A terceira página orienta a vítima para ativar a instalação a partir de fontes desconhecidas, apresentando-a como uma medida de segurança padrão. Uma vez concluída, o malware Oblivion RAT é instalado e ativado no dispositivo.

Como evitar a instalação de malware?

Mantenha o seu sistema operativo e as suas aplicações atualizados e obtenha software apenas em sites oficiais ou lojas de aplicações de confiança. Realize análises de rotina com ferramentas de segurança fiáveis para detetar e remover possíveis ameaças. Ao receber e-mails ou mensagens inesperadas, especialmente aqueles que contenham links ou anexos, evite abrir o seu conteúdo.

Além disso, não interaja com anúncios, janelas pop-up ou links suspeitos ao visitar sites questionáveis e recuse pedidos de notificação provenientes de sites não confiáveis.

Painel de administração do Oblivion RAT (fonte: iverify.io):

Menu rápido:

• Introdução
• Como eliminar o histórico de navegação do navegador Chrome?
• Como desativar as notificações no navegador Chrome?
• Como reiniciar o navegador Chrome?
• Como eliminar o histórico de navegação do navegador Firefox?
• Como desativar as notificações no navegador Firefox?
• Como reiniciar o navegador Firefox?
• Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
• Como iniciar o dispositivo Android no «Modo de Segurança»?
• Como verificar o consumo de bateria de várias aplicações?
• Como verificar o consumo de dados de várias aplicações?
• Como instalar as atualizações de software mais recentes?
• Como repor o sistema para o estado predefinido?
• Como desativar aplicações com privilégios de administrador?

Apagar o histórico de navegação do navegador Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no Chrome:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso que se abre.

Deslize para baixo até ver a opção «Definições do site» e toque nela. Deslize para baixo até ver a opção «Notificações» e toque nela.

Encontre os sites que enviam notificações no navegador, toque neles e clique em "Limpar e repor". Isto irá remover as permissões concedidas a esses sites para enviar notificações. No entanto, quando voltar a visitar o mesmo site, este poderá solicitar novamente a permissão. Pode optar por conceder ou não essas permissões (se optar por recusar, o site passará para a secção «Bloqueados» e deixará de lhe pedir a permissão).

[Voltar ao menu]

Reinicie o navegador Chrome:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».

Toque em "GERIR ARMAZENAMENTO", depois em "APAGAR TODOS OS DADOS" e confirme a ação tocando em "OK". Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Apagar o histórico de navegação do navegador Firefox:

Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso que se abre.

Desça a página até ver «Limpar dados privados» e toque nessa opção. Selecione os tipos de dados que pretende eliminar e toque em «LIMPAR DADOS».

[Voltar ao menu]

Desativar as notificações do navegador no Firefox:

Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar definições do site».

Na janela pop-up que se abre, selecione a opção «Notificações» e toque em «APAGAR».

[Voltar ao menu]

Redefinir o navegador Firefox:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".

Toque em «APAGAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador e palavras-passe guardados, o histórico de navegação, as definições personalizadas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Vá a «Definições», desça a página até ver «Aplicações» e toque nessa opção.

Desça a página até encontrar uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por algum motivo, não conseguir remover a aplicação selecionada (por exemplo, se for apresentada uma mensagem de erro), deve tentar utilizar o "Modo de segurança".

[Voltar ao menu]

Inicie o dispositivo Android no «Modo de segurança»:

O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).

Pressione o botão "Ligar/Desligar" e mantenha-o pressionado até ver o ecrã "Desligar". Toque no ícone «Desligar» e mantenha-o premido. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá ativá-la reiniciando o dispositivo.

[Voltar ao menu]

Verifique o consumo de bateria de várias aplicações:

Vá a «Definições», desça a página até ver «Manutenção do dispositivo» e toque nessa opção.

Toque em «Bateria» e verifique o consumo de cada aplicação. As aplicações legítimas/autênticas são concebidas para consumir o mínimo de energia possível, de modo a proporcionar a melhor experiência ao utilizador e a poupar energia. Por conseguinte, um consumo elevado de bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verifique o consumo de dados de várias aplicações:

Vá a «Definições», desça a página até ver «Ligações» e toque nessa opção.

Desça a página até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/autênticas são concebidas para minimizar ao máximo a utilização de dados. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Tenha em atenção que algumas aplicações maliciosas podem ter sido concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados tanto em rede móvel como em Wi-Fi.

Se descobrir uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instale as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, e é por isso que deve certificar-se sempre de que o software do seu dispositivo está atualizado.

Vá a «Definições», desça a página até ver «Atualização de software» e toque nessa opção.

Toque em «Descarregar atualizações manualmente» e verifique se existem atualizações disponíveis. Se houver, instale-as imediatamente. Recomendamos também que ative a opção «Descarregar atualizações automaticamente» — isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Redefina o sistema para o seu estado padrão:

Efetuar uma «Redefinição de fábrica» é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para os valores predefinidos e limpar o dispositivo em geral. No entanto, deve ter em conta que todos os dados contidos no dispositivo serão apagados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.

Também pode restaurar as definições básicas do sistema e/ou apenas as definições de rede.

Vá a «Definições», desça a página até ver «Sobre o telemóvel» e toque nessa opção.

Desça a página até ver "Reiniciar" e toque nessa opção. Agora escolha a ação que pretende realizar:
"Redefinir definições" - restaura todas as definições do sistema para os valores predefinidos;
"Redefinir definições de rede" - restaura todas as definições relacionadas com a rede para os valores predefinidos;
"Redefinir dados de fábrica" - redefine todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações com privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de administrador, poderá causar graves danos ao sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre quais as aplicações que têm esses privilégios e desativar as que não deveriam tê-los.

Vá a «Definições», desça a página até ver «Ecrã de bloqueio e segurança» e toque nessa opção.

Desça a página até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».

Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em "DESATIVAR".

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware Oblivion RAT. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

A formatação do dispositivo pode eliminar o Oblivion RAT, mas esta medida deve ser considerada apenas como último recurso, uma vez que apaga todos os dados. É aconselhável realizar primeiro uma verificação completa do sistema utilizando uma ferramenta de segurança como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode causar uma vasta gama de problemas, incluindo a redução do desempenho do dispositivo, a eliminação ou corrupção de ficheiros, o roubo de informações pessoais, a instalação de programas maliciosos adicionais e a concessão de controlo remoto sobre o dispositivo aos atacantes.

Qual é o objetivo do Oblivion RAT?

O objetivo do Oblivion RAT é permitir que os atacantes assumam o controlo remoto do dispositivo Android da vítima. Foi concebido para roubar informações confidenciais, tais como chaves privadas, palavras-passe, mensagens SMS e códigos de autenticação de dois fatores. O malware também identifica aplicações financeiras e similares.

Como é que o malware Oblivion RAT se infiltrou no meu dispositivo?

O Oblivion RAT infeta os dispositivos através de uma aplicação dropper falsa enviada por plataformas de mensagens ou de encontros. A aplicação utiliza páginas falsas de atualização da Google Play para induzir o utilizador a ativar a instalação de aplicações de fontes desconhecidas. Assim que a aplicação de segunda fase é instalada, o malware completo é ativado.

O Combo Cleaner protege-me contra malware?

Sim, o Combo Cleaner é capaz de detetar e remover a maioria dos programas maliciosos conhecidos. Uma vez que as ameaças avançadas podem, por vezes, esconder-se nas profundezas do sistema, recomenda-se a execução de uma verificação completa do sistema para garantir que todos os programas maliciosos sejam detetados e eliminados.