O que é o malware Vultur e como removê-lo?

Detectado pela primeira vez na metade de 2021, o Vultur é um malware bastante perigoso que tem afetado diversos celulares ao redor do mundo. Focada em aparelhos que rodam o sistema operacional Android, a ameaça tem como principal objetivo acessar serviços de pagamento digitais, carteiras de criptomoedas e redes sociais para roubar as vítimas e se espalhar por outros alvos.

• Malware que rouba dados de cartão estava em biblioteca oficial de programação
• Cibercriminosos estão "envenenando" códigos abertos para manipular softwares
• Como saber se o celular está com vírus?

Segundo um relatório emitido pela empresa de segurança Threat Fabric, até o dia 29 de julho o malware já havia infectado mais de 8 mil celulares ao redor do mundo. Segundo a PC Risk, as principais vítimas se encontrando na Austrália, Itália e Espanha, mas já há ataques sendo detectados na Holanda, Reino Unido e outras partes do mundo.

Como funciona o Vultur?

O Vultur é considerado um Trojan de Acesso Remoto (RAT, na sigla em inglês) e permite que um atacante ganhe acesso remoto aos sistemas afetados. Ele funciona ganhando acesso aos Serviços de Acessibilidade do Android, que garantem a ele a capacidade de “ler a tela” das vítimas e simular o que acontece quando o usuário toca nela.

Para ganhar mais acesso ao sistema, o malware passa a exibir uma série de notificações pop-up que exigem que os recursos de que necessita sejam habilitados. Caso o usuário dê as permissões solicitadas, o Vultur se esconde no sistema e passa a realizar suas atividades de coleta de dados de forma discreta.

Ao contrário de outras ameaças comuns ao Android, ele não tende a exibir páginas falsas que enganam os usuários, o que não torna ele menos poderoso. O Vultur é capaz de fazer a gravação remota da tela de um dispositivo infectado, bem como registrar qualquer digitação feita através dele. Com isso, ele coloca em risco informações bancárias, logins de e-mail e redes sociais e toda a privacidade da vítima.

Como se isso não fosse suficiente, a ameaça pode obter a lista de aplicativos instalados no sistema, impedindo que o usuário elimine nomes específicos e até mesmo se disfarçando como aplicativos legítimos que prometem aumentar a segurança do aparelho afetado. Em muitos casos, a única forma de detectar as atividades do malware é após ele já provocar danos, que costumam acontecer no campo monetário.

Um indício de que seu smartphone foi contaminado é a exibição do ícone de transmissão de imagens mesmo quando você não está conectado a nenhum dispositivo. Isso acontece porque o Vultur se comunica constantemente com seu centro de comando para permitir a vigilância de aparelhos e a instalação de ameaças adicionais.

Como o Vultur entra no sistema?

Assim como acontece com outras ameaças que afetam o Android, o Vultur entra usando brechas em apps falsos que promovem algo útil para o usuário. Análises mostram que a ameaça se infiltra nos celulares através de apps relacionados à área da saúde e que promovem soluções de autenticação, muitos deles disponíveis na própria loja Google Play.

Segundo uma investigação feita pela PC Risk, embora os aplicativos que traziam o malware já tenham sido removidos da loja, isso aconteceu somente após eles terem sido baixados algumas milhares de vezes. Outra forma usada pelo malware para se infiltrar em celulares é através de aplicativos distribuídos fora da loja do Google, o que aumenta a chance de eles carregaram códigos que não são aprovados pela empresa.

Como eliminar o Vultur?

Caso você suspeite que o Vultur está presente em seu aparelho, algumas ações podem garantir que ele não provoque muitos estragos. O primeiro passo é evitar usar o dispositivo e até mesmo desligá-lo completamente enquanto você analisa os passos a tomar em seguida. Como a ameaça é complexa e persistente, é preciso tomar uma série de cuidados para evitar que ela volte a afetar seu aparelho.

Comece apagando os dados de navegação de seu aparelho. Vamos usar o Google Chrome como exemplo, mas o Firefox e o Brave possuem etapas semelhantes que você deve seguir.

Abra o aplicativo, clique sobre seu painel de configuração e selecione “Histórico”;

Clique em “Limpar dados de navegação”;

Em seguida, clique em “Avançado” e “Limpar Dados”. Como padrão, o campo “Cookies e Dados do site” não estará marcado, mas é recomendado que você também apague esses arquivos de seu sistema;

Assim que limpar os dados de navegação, é preciso gerenciar as notificações do Chrome. Para isso, abra novamente o menu de opções e clique sobre a opção “Configurações”;

Em seguida, clique sobre a opção “Configurações do site”;

E em “Notificações”;

Nessa janela, você pode verificar quais sites têm permissões de enviar notificações para seu aparelho. Selecione e bloqueie todos que parecem suspeitos — com isso, você evita que seu aparelho seja inundado pelos pop-ups que convencem a liberar recursos do sistema para o Vultur;

Para finalizar, entre no menu do Android, selecione Aplicativos, encontre o Google Chrome e o selecione;

Clique em “Armazenamento”;

Para finalizar, selecione a opção “Limpar todos dados”. Com isso, você garante que qualquer modificação feita pelo Vultur foi eliminada de seu aparelho.

Removendo a ameaça

Limpar os dados de seu navegador ajuda a garantir que a ameaça não terá meios de se infiltrar novamente no sistema, mas isso não significa que ela foi removida. Ainda é preciso desinstalar o aplicativo falso que está escondendo o Vultur — processo que nem sempre é possível, visto que a ameaça tem o potencial de impedir a desinstalação de aplicativos.

Portanto, é necessário que você reinicie seu dispositivo no modo de segurança. Para isso, segure o botão de desligar do seu aparelho até que surjam as opções normais (Desligar, Reiniciar e Modo de Emergência). Pressione o botão “Desligar” durante alguns segundos até que surja a opção “Modo Seguro”.

Toque sobre ele para reiniciar o dispositivo com a opção, que desativa aplicativos baixados temporariamente para ajudá-lo a solucionar problemas do telefone. Após seu aparelho reiniciar, é hora de desinstalar o aplicativo que está escondendo o Vultur. Uma forma fácil de descobrir qual é o culpado é verificando o consumo de bateria de cada um. Para isso, clique nas configurações do Android e, em seguida, selecione a opção “Assistência do aparelho e bateria”.

Após uma análise, o sistema vai atribuir uma pontuação a seu dispositivo e mostrar quais podem ser os problemas presentes nele.

Ao clicar em “Bateria”, você pode verificar quais aplicativos possuem comportamentos prejudiciais e que merecem sua atenção. Cada fabricante possui sua própria interface para essa área — no caso do dispositivo Samsung que usamos, é possível conferir o uso de carga nas últimas horas, nos últimos 7 dias e a porcentagem de bateria consumida por cada app presente no aparelho. Como o Vultur está ativo o tempo todo, o aplicativo ligado a ele tende ser um grande consumidor da carga presente em seu dispositivo.

Depois de verificar o uso da bateria, você também pode observar como cada aplicativo do sistema está usando dados móveis. Para isso, abra novamente as configurações do Android e selecione a opção “Conexões”.

Selecione a opção “Uso de Dados” e toque sobre “Uso de Dados Móveis” e “Uso de dados Wi-Fi” para conferir quais apps mais transmitem informações.

A análise dos consumos de dados é bastante confiável na identificação do Vultur, que costuma transmitir uma alta quantidade de informações aos atacantes. Se você notar que um app estranho está fazendo isso, provavelmente é ele o responsável por esconder a ameaça.

Após identificar qual é o software responsável por esconder o malware, é só prosseguir às configurações do Android e desinstalá-lo de forma normal. Como o aparelho está no modo de segurança, as proteções usadas pelos criminosos para impedir que isso aconteça estarão desabilitas, permitindo que você prossiga com o processo.

Mesmo que você não tenha sido vítima do Vultur, é preciso ficar atento a algumas medidas básicas de segurança:

• Sempre mantenha seu aparelho atualizado, assim como os aplicativos nele contidos;
• Evite fazer downloads de aplicativos de fora do Google Play;
• Mesmo que os apps estejam presentes na loja do Android, sempre leia análises de outros usuários e desconfie daqueles que possuem nomes e descrições suspeitas ou com muitos erros de ortografia. Infelizmente, muitos apps maliciosos conseguem se infiltrar nesse espaço antes de serem eliminados pelos filtros do Google.

Outra recomendação, que se mostra cada vez mais necessária, é manter um software antivírus e antimalware confiável instalado em seu dispositivo. Além de barrarem a entrada de aplicativos com códigos suspeitos, eles também podem ajudar você a eliminar ameaças que tenham infectado seu celular, garantindo a segurança de seus dados e contatos.

Canaltech no YouTube

O seu smartphone está funcionando de maneira estranha? Entenda quais medidas podem ajudar a descobrir se aplicativos indesejados estão por trás do problema. Veja, por exemplo, como checar se apps estranhos usaram, de forma relevante, a sua internet. Assista ao vídeo COMO SABER SE O CELULAR ESTÁ COM VÍRUS E O QUE FAZER PARA RESOLVER O PROBLEMA e se inscreva no Canaltech no YouTube.

Fonte: PC Risk, Sensor Tech Forum, Tom's Guide