Como remover o Glitch SPY de dispositivos Android

Trojan

Também conhecido como: Trojan de acesso remoto Glitch SPY

Nível de danos:

Faça uma verificação gratuita e verifique se o seu computador está infectado.

REMOVER AGORA

Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Que tipo de malware é o Glitch SPY?

O Glitch SPY é um Trojan de Acesso Remoto (RAT) para Android, capaz de executar mais de 70 comandos em dispositivos infetados. Analisado pelos Cyble Research and Intelligence Labs, é distribuído através de uma plataforma fraudulenta polaca de arrendamento de apartamentos que engana os utilizadores para que instalem manualmente um APK malicioso. Uma vez instalado, o Glitch SPY concede aos atacantes um controlo abrangente sobre o dispositivo da vítima, permitindo tudo, desde vigilância em tempo real até ao roubo financeiro.

Malware Glitch SPY RAT distribuído através de um site falso polaco de arrendamento

Visão geral do malware Glitch SPY RAT

O Glitch SPY é distribuído através de um site fraudulento (tutaj-dompl[.]com) que se faz passar por um serviço legítimo polaco de arrendamento de apartamentos. Os visitantes são atraídos a descarregar o que aparenta ser uma aplicação móvel, mas a hiperligação conduz a um APK malicioso em vez de uma aplicação genuína.

O ficheiro descarregado não é o próprio Glitch SPY, mas sim um dropper conhecido como Brokewell Android Loader. Este apresenta um ecrã de atualização falso e convence o utilizador a ativar a instalação a partir de fontes desconhecidas, implementando depois silenciosamente a carga útil do Glitch SPY em segundo plano.

Uma vez instalado, o Glitch SPY explora os Serviços de Acessibilidade do Android para obter um controlo profundo ao nível do sistema. Isto permite que o malware automatize a concessão de permissões, interaja com a interface do dispositivo e execute ações sem qualquer intervenção adicional da vítima.

O RAT suporta mais de 70 comandos, colocando-o entre as ameaças Android mais capazes. As funcionalidades de vigilância incluem transmissão de ecrã em direto, captura de ecrã, keylogging e extração de texto do leitor de ecrã. A câmara e o microfone também podem ser ativados remotamente para vigilância áudio e vídeo.

As capacidades de roubo de dados são extensas. O Glitch SPY recolhe mensagens SMS, contactos, registos de chamadas, detalhes de contas do dispositivo, localização GPS e uma lista de aplicações instaladas. O conteúdo da área de transferência também é monitorizado, alimentando diretamente a funcionalidade de crypto-clipping do malware.

O crypto-clipper substitui silenciosamente os endereços de carteiras de criptomoedas por outros controlados pelos atacantes em múltiplos formatos de blockchain. Qualquer pagamento que a vítima tente enviar é encaminhado para o criminoso em vez do destinatário pretendido.

O Glitch SPY também inclui um navegador oculto - um componente fora do ecrã capaz de realizar apropriações de contas baseadas na web a partir do próprio dispositivo e endereço IP da vítima. Uma vez que os pedidos têm origem no telemóvel da vítima, os sistemas de deteção de fraude que assinalam dispositivos ou localizações não familiares têm menos probabilidade de detetar a atividade.

As operações de ficheiros completam o conjunto de ferramentas do malware. O Glitch SPY pode gerir, carregar e executar ficheiros no dispositivo e pode encriptar ou desencriptar dados utilizando encriptação AES/GCM. Toda a comunicação de comando e controlo é realizada através de ligações persistentes WebSocket a dois servidores conhecidos.

A infraestrutura de suporte inclui um painel de administração com módulos para construir novas cargas úteis, gerir dispositivos infetados, executar um cryptor e configurar campanhas. Isto indica que o Glitch SPY foi concebido como uma plataforma multicampanha, em vez de uma ferramenta de uso único.

Vale a pena notar que os criadores de malware atualizam e melhoram regularmente o seu software, pelo que futuras versões do Glitch SPY poderão apresentar capacidades adicionais ou diferentes. Em resumo, ter este RAT num dispositivo pode resultar em graves violações de privacidade, perdas financeiras, apropriações de contas e roubo de identidade.

Resumo da Ameaça:
Nome Trojan de acesso remoto Glitch SPY
Tipo De Ameaça Malware Android, aplicação maliciosa, Trojan de Acesso Remoto, Ferramenta de Administração Remota, RAT.
Nomes De Deteção Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.NU), ESET-NOD32 (Android/Spy.Agent.GIE Trojan), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Lista Completa (VirusTotal)
Sintomas O dispositivo está a funcionar lentamente, as definições do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, o uso de dados e da bateria aumenta significativamente, os navegadores redirecionam para sites questionáveis, são apresentados anúncios intrusivos.
Métodos De Distribuição Sites maliciosos, descargas fraudulentas de APK, engenharia social.
Danos Informações pessoais roubadas (mensagens privadas, nomes de utilizador/palavras-passe, etc.), diminuição do desempenho do dispositivo, bateria esgotada rapidamente, diminuição da velocidade da Internet, enormes perdas de dados, perdas monetárias, roubo de identidade (aplicações maliciosas podem abusar de aplicações de comunicação).
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.

Descarregar Combo Cleaner

O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Exemplos de trojans de acesso remoto específicos do Android

O Glitch SPY é um RAT notavelmente avançado, combinando uma cadeia de distribuição baseada em dropper, um abuso extensivo dos Serviços de Acessibilidade e um navegador oculto para apropriação furtiva de contas. Dito isto, partilha o mesmo modelo de ameaça subjacente de muitos RATs Android cujos objetivos principais são a vigilância e a fraude financeira.

Exemplos de trojans de acesso remoto semelhantes que visam o Android incluem o BTMOB, o Mirax e o SURXRAT. Todas estas ameaças podem causar sérios danos, e recomenda-se vivamente a remoção imediata utilizando uma ferramenta de segurança fiável.

Como é que o Glitch SPY RAT se infiltrou no meu dispositivo?

O Glitch SPY chega às vítimas através de um site falso polaco de arrendamento de apartamentos (tutaj-dompl[.]com). O site apresenta-se como uma plataforma imobiliária legítima e promove a descarga de uma aplicação móvel, mas o ficheiro que fornece é um APK malicioso, e não uma aplicação real.

Esse APK contém o Brokewell Android Loader, um dropper que mostra um convincente ecrã de atualização falso. Solicita permissão para instalar aplicações a partir de fontes desconhecidas e, uma vez concedida, entrega silenciosamente a carga útil do Glitch SPY em segundo plano.

Após a instalação, a aplicação falsa solicita acesso aos Serviços de Acessibilidade do Android. Conceder esta permissão entrega ao malware um controlo profundo do dispositivo e completa a infeção.

De forma mais geral, o malware Android também se propaga através de campanhas de phishing, lojas de aplicações não oficiais e falsos avisos de atualização de software. Qualquer aplicação obtida fora dos canais oficiais acarreta um risco elevado.

Como evitar a instalação de malware?

Descarregue aplicações exclusivamente da Google Play Store oficial ou de sites de programadores verificados. A definição "Instalar de fontes desconhecidas" deve permanecer desativada em quase todas as situações - é a principal porta de entrada que ameaças como o Glitch SPY utilizam para contornar as proteções de segurança integradas do Android.

Antes de instalar qualquer aplicação, reveja as suas permissões e verifique as avaliações dos utilizadores. Tenha cuidado com plataformas imobiliárias, aplicações bancárias ou outros serviços financeiros promovidos através de anúncios ou hiperligações não solicitadas. Manter o Android e todas as aplicações instaladas atualizados, combinado com uma ferramenta de segurança móvel de confiança, reduz significativamente a probabilidade de infeção.

Capturas de ecrã do processo de distribuição e instalação do Glitch SPY RAT (fonte: cyble.com):

Processo de instalação do Glitch SPY RAT - aplicação falsa TutajDom a solicitar permissão de fontes desconhecidas e acesso de acessibilidade

Captura de ecrã do site falso Tutaj Dompl utilizado para propagar o Glitch SPY:

Site falso de descarga Tutaj Dompl a propagar o Glitch SPY

Captura de ecrã do painel de administração web do Glitch SPY RAT:

Painel de administração web do Glitch SPY RAT

Menu rápido:

Eliminar o histórico de navegação do navegador Chrome:

Eliminar o histórico de navegação do Chrome no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.

Eliminar o histórico de navegação do Chrome no sistema operativo Android (passo 2)

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no navegador Chrome:

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Definições" no menu suspenso aberto.

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 2)

Desloque-se para baixo até ver a opção "Definições do site" e toque nela. Desloque-se para baixo até ver a opção "Notificações" e toque nela.

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 3)

Encontre os sites que enviam notificações do navegador, toque neles e clique em "Limpar e repor". Isto removerá as permissões concedidas a esses sites para enviarem notificações. No entanto, assim que visitar novamente o mesmo site, este poderá solicitar novamente uma permissão. Pode escolher se pretende conceder essas permissões ou não (se optar por recusar, o site irá para a secção "Bloqueado" e deixará de lhe solicitar a permissão).

[Voltar ao menu]

Repor o navegador Chrome:

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nele.

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 2)

Desloque-se para baixo até encontrar a aplicação "Chrome", selecione-a e toque na opção "Armazenamento".

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 3)

Toque em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação tocando em "OK". Note que repor o navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições não predefinidas e outros dados serão eliminados. Também terá de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Eliminar o histórico de navegação do navegador Firefox:

Eliminar o histórico de navegação do Firefox no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.

Eliminar o histórico de navegação do Firefox no sistema operativo Android (passo 2)

Desloque-se para baixo até ver "Limpar dados privados" e toque nele. Selecione os tipos de dados que pretende remover e toque em "LIMPAR DADOS".

[Voltar ao menu]

Desativar as notificações do navegador no navegador Firefox:

Desativar as notificações do navegador no navegador Firefox no sistema operativo Android (passo 1)

Visite o site que está a enviar notificações do navegador, toque no ícone apresentado à esquerda da barra de URL (o ícone não será necessariamente um "Cadeado") e selecione "Editar definições do site".

Desativar as notificações do navegador no navegador Firefox no sistema operativo Android (passo 2)

Na janela pop-up aberta, ative a opção "Notificações" e toque em "LIMPAR".

[Voltar ao menu]

Repor o navegador Firefox:

Repor o navegador Firefox no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nele.

Repor o navegador Firefox no sistema operativo Android (passo 2)

Desloque-se para baixo até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".

Repor o navegador Firefox no sistema operativo Android (passo 3)

Toque em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que repor o navegador eliminará todos os dados nele armazenados. Isto significa que todos os nomes de utilizador/palavras-passe guardados, o histórico de navegação, as definições não predefinidas e outros dados serão eliminados. Também terá de voltar a iniciar sessão em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Remover aplicações indesejadas/maliciosas do sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nele.

Remover aplicações indesejadas/maliciosas do sistema operativo Android (passo 2)

Desloque-se para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por alguma razão, não conseguir remover a aplicação selecionada (por exemplo, é apresentada uma mensagem de erro), deve tentar utilizar o "Modo de Segurança".

[Voltar ao menu]

Iniciar o dispositivo Android em "Modo de Segurança":

O "Modo de Segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar "normalmente").

Iniciar o dispositivo Android em Modo de Segurança

Prima o botão "Ligar/Desligar" e mantenha-o premido até ver o ecrã "Desligar". Toque no ícone "Desligar" e mantenha-o premido. Após alguns segundos, a opção "Modo de Segurança" aparecerá e poderá executá-la reiniciando o dispositivo.

[Voltar ao menu]

Verificar o uso da bateria de várias aplicações:

Verificar o uso da bateria de várias aplicações no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Manutenção do dispositivo" e toque nele.

Verificar o uso da bateria de várias aplicações no sistema operativo Android (passo 2)

Toque em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar a menor energia possível, de modo a proporcionar a melhor experiência de utilização e a poupar energia. Por conseguinte, um uso elevado da bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verificar o uso de dados de várias aplicações:

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Ligações" e toque nele.

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 2)

Desloque-se para baixo até ver "Utilização de dados" e selecione esta opção. Tal como com a bateria, as aplicações legítimas/genuínas são concebidas para minimizar o uso de dados tanto quanto possível. Isto significa que um enorme uso de dados pode indicar a presença de uma aplicação maliciosa. Note que algumas aplicações maliciosas podem ser concebidas para operar apenas quando o dispositivo está ligado a uma rede sem fios. Por esta razão, deve verificar o uso de dados tanto móveis como Wi-Fi.

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 3)

Se encontrar uma aplicação que utiliza muitos dados apesar de nunca a utilizar, aconselhamos vivamente a que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instalar as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente vários patches de segurança e atualizações do Android, de modo a corrigir erros e bugs que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, razão pela qual deve certificar-se sempre de que o software do seu dispositivo está atualizado.

Instalar atualizações de software no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Atualização de software" e toque nele.

Instalar atualizações de software no sistema operativo Android (passo 2)

Toque em "Descarregar atualizações manualmente" e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção "Descarregar atualizações automaticamente" - permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Repor o sistema ao seu estado predefinido:

Realizar uma "Reposição de Fábrica" é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para as predefinições e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados no dispositivo serão eliminados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS, e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado inicial.

Também pode restaurar as definições básicas do sistema e/ou simplesmente as definições de rede.

Repor o sistema operativo Android para as predefinições (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Acerca do telefone" e toque nele.

Repor o sistema operativo Android para as predefinições (passo 2)

Desloque-se para baixo até ver "Repor" e toque nele. Agora escolha a ação que pretende realizar:
"Repor definições" - restaura todas as definições do sistema para as predefinições;
"Repor definições de rede" - restaura todas as definições relacionadas com a rede para as predefinições;
"Reposição de dados de fábrica" - repõe todo o sistema e elimina completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações que têm privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deve verificar sempre que aplicações têm tais privilégios e desativar as que não deveriam tê-los.

Desativar aplicações Android que têm privilégios de administrador (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Ecrã de bloqueio e segurança" e toque nele.

Desativar aplicações Android que têm privilégios de administrador (passo 2)

Desloque-se para baixo até ver "Outras definições de segurança", toque nele e depois toque em "Aplicações de administração do dispositivo".

Desativar aplicações Android que têm privilégios de administrador (passo 3)

Identifique as aplicações que não deveriam ter privilégios de administrador, toque nelas e depois toque em "DESATIVAR".

Perguntas Frequentes (FAQ)

O meu dispositivo Android está infetado com o malware Glitch SPY RAT, devo formatar o meu dispositivo de armazenamento para me livrar dele?

A formatação raramente é necessária para remover malware Android. Executar uma aplicação de segurança móvel de confiança como o Combo Cleaner deve ser suficiente para detetar e eliminar o Glitch SPY do seu dispositivo.

Quais são os maiores problemas que o malware Glitch SPY RAT pode causar?

O Glitch SPY dá aos atacantes um controlo quase total sobre um dispositivo infetado. Pode roubar mensagens SMS, contactos e credenciais de contas, registar as teclas premidas, capturar áudio e vídeo e monitorizar o conteúdo da área de transferência.

O crypto-clipper do malware redireciona silenciosamente pagamentos de criptomoedas para carteiras controladas pelos atacantes. O seu componente de navegador oculto também pode realizar apropriações de contas diretamente a partir do dispositivo da vítima, contornando muitos sistemas de deteção de fraude.

Qual é o objetivo do malware Glitch SPY RAT?

A maioria do malware é motivada por ganhos financeiros. As funcionalidades de crypto-clipping e roubo de dados do Glitch SPY sugerem que o lucro é o motivo principal, embora os atacantes também possam utilizá-lo para espionagem direcionada, rastreamento de indivíduos ou outras razões pessoais.

Como é que o malware Glitch SPY RAT se infiltrou no meu dispositivo Android?

O Glitch SPY é propagado através de um site falso polaco de arrendamento de apartamentos. Os visitantes são enganados a descarregar um APK malicioso que contém o Brokewell Android Loader, que instala silenciosamente o Glitch SPY enquanto finge executar uma atualização legítima de uma aplicação.

O Combo Cleaner protege-me contra malware?

O Combo Cleaner é capaz de detetar e eliminar quase todas as infeções de malware conhecidas. Recomenda-se a execução de uma análise completa do sistema, pois ameaças sofisticadas como o Glitch SPY incorporam-se frequentemente nas profundezas do dispositivo.

Partilhar:

facebook
X (Twitter)
linkedin
copiar link
Tomas Meskauskas

Tomas Meskauskas

Pesquisador especialista em segurança, analista profissional de malware

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.

▼ Mostrar comentários

O portal de segurança PCrisk é fornecido pela empresa RCS LT.

Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Doar