Advertisement

Responsive Advertisement

Malware se disfarça de WhatsApp, TikTok e YouTube no Android para te espionar?

Grupo Mugs outubro 14, 2025

 
Sim — pesquisadores descobriram um spyware Android que se disfarça como apps populares (WhatsApp, TikTok, YouTube, Google Photos, etc.) para enganar vítimas e espionar dispositivos. O caso mais recente recebeu o nome ClayRat e vem sendo distribuído por canais no Telegram e por sites de phishing / typosquatting que imitam páginas de download. Zimperium+1

O que esse malware faz (resumo das capacidades observadas)

  • Se faz passar por apps legítimos para convencer o usuário a instalar um APK fora da Play Store. BleepingComputer
  • Abusa do papel de app padrão de SMS (SMS handler) para contornar prompts de permissão em tempo de execução e assim ler mensagens, registros de chamadas e notificações. Zimperium+1
  • Pode coletar e exfiltrar contatos, fotos (câmera/galeria), dados do dispositivo e enviar links maliciosos para os contatos da vítima (propagação). ClearPhish+1
  • Os pesquisadores dizem que, por enquanto, o foco inicial foi em usuários na Rússia, mas a técnica e a distribuição (Telegram + phishing) podem tornar a campanha um risco em outras regiões também. Zimperium+1

Como descobrir se você foi atingido (checagens rápidas)

  • Procure por apps que você não se lembra de ter instalado — especialmente APKs instalados fora da Play Store.
  • Verifique qual app está definido como aplicativo padrão de SMS (Configurações → Apps → Apps padrão → SMS) — se for um app desconhecido, troque.
  • Monitore consumo anômalo de dados, mensagens enviadas que você não enviou, notificações estranhas ou novas permissões (acesso a SMS, câmera, contatos).
  • Use um antivírus móvel confiável para escaneamento (ex.: soluções conhecidas do mercado). Zimperium

O que fazer se suspeitar de infecção

  1. Remova apps suspeitos: desinstale qualquer app que não reconheça — se não puder desinstalar, tente revogar permissões e desativar privilégios de administrador (Configurações → Segurança → Apps com administração).
  2. Altere senhas importantes (conta Google, bancos, serviços usados no celular) a partir de outro dispositivo limpo.
  3. Execute um scan com uma ferramenta de segurança móvel respeitável (ex.: Play Protect + antivírus).
  4. Considere reset de fábrica se o comportamento malicioso persistir (faça backup de dados importantes primeiro e reinstale apps só da Play Store).
  5. Atualize o Android e apps e não reinstale APKs de fontes suspeitas. Tom's Guide+1

Como se proteger (boas práticas)

  • Baixe da Google Play Store e verifique o nome do desenvolvedor e avaliações; desconfie de sites que prometem “versões modificadas” ou downloads por Telegram.
  • Não aceite definir apps desconhecidos como app padrão de SMS ou leitor de notificações sem entender por quê.
  • Ative o Google Play Protect, mantenha o sistema atualizado e evite clicar em links suspeitos recebidos por SMS/Telegram.
  • Use autenticação em duas etapas em contas importantes e limite permissões de apps (somente o mínimo necessário). Zimperium+1

Fontes principais (leitura rápida)

  • Relatório zLabs / Zimperium sobre o ClayRat (análise técnica). Zimperium
  • Cobertura por TechRadar / Tom’s Guide / Bleeping Computer que resumem o risco e dão recomendações. TechRadar+2Tom's Guide+2

Guia completo para verificar e remover malware que se disfarça como WhatsApp/TikTok/YouTube

Observação: muitas telas e nomes podem variar ligeiramente entre fabricantes (Samsung, Xiaomi, Motorola, etc.) e versões do Android. Quando eu escrever Configurações → ..., significa: abra o app Configurações e procure o item indicado.

1) Antes de começar — precauções iniciais

  • Não acesse contas sensíveis (banco, e-mail) no aparelho suspeito até fazer as verificações ou, se precisar, faça a partir de outro dispositivo limpo.
  • Anote (ou fotografe com outro aparelho) os nomes dos apps suspeitos que aparecerem.
  • Tenha à mão uma segunda máquina limpa (PC ou celular) para trocar senhas se necessário.

2) Checar apps instalados (procure APKs fora da Play Store)

  1. Configurações → Apps (ou Apps e notificações → Ver todos os apps).
  2. Na lista, procure por apps que você não instalou ou por nomes que imitam apps populares (ex.: “WhatsApp Pro”, “YouTube Player”, “TikTok.apk”, nomes genéricos como “Atualizador”, “Serviço”).
  3. Clique no app suspeito e veja:
    • Fonte de instalação: em muitos aparelhos aparece Instalado a partir de ou Instalado através de — veja se foi da Google Play Store ou de outra origem (navegador, Telegram).
    • Permissões: toque em Permissões para ver o que o app tem acesso.
  4. Se encontrar um app estranho: anote o nome do pacote e prossiga para as próximas seções para remover.

3) Verificar e remover apps com privilégios especiais

A) Apps com permissão de Administrador do dispositivo

  1. Configurações → Segurança → Apps com acesso de administrador (ou Segurança e localização → Administradores do dispositivo).
  2. Se houver um app desconhecido com esse privilégio, desative o privilégio primeiro (desmarcar), depois volte e desinstale o app.

B) Serviços de Acessibilidade

  1. Configurações → Acessibilidade.
  2. Veja quais apps possuem serviços de acessibilidade ativados (alguns malwares usam isso para ler tela e interagir).
  3. Desative serviços de acessibilidade de apps desconhecidos ou suspeitos.

C) App de SMS padrão (SMS handler)

  1. Configurações → Apps → Apps padrão → Aplicativo de SMS (ou Apps → Avançado → Apps padrão).
  2. Verifique se o aplicativo padrão de SMS é um app que você reconhece. Se não for, troque para Mensagens (Google Messages) ou outro app conhecido.

4) Revogar permissões perigosas (SMS, telefone, câmera, arquivos, acessibilidade)

  1. Configurações → Apps → [selecione o app] → Permissões.
  2. Revogue tudo que não fizer sentido (SMS, SMS and MMS, arquivo/armazenamento, acesso a câmera/microfone, chamadas).
  3. Para revogar em massa: Configurações → Privacidade → Gerenciador de permissões (ou Permissões de apps) e revise por tipo de permissão (SMS, Localização, Armazenamento) — remova para apps desnecessários.

5) Tentativa padrão: desinstalar o app (passo a passo)

  1. Configurações → Apps → [app suspeito] → Desinstalar.
  2. Se aparecer Desinstalar desativado ou a opção estiver cinzenta:
    • Volte a Administradores do dispositivo e desative o privilégio (veja seção 3A).
    • Desative serviço de acessibilidade (se ativo).
    • Depois tente desinstalar novamente.

6) Se não conseguir desinstalar — reiniciar em Modo Seguro e remover

  • O Modo Seguro impede que apps de terceiros sejam carregados, facilitando remoção.
  1. Mantenha pressionado o botão de power até aparecer o menu de desligar.
  2. Toque e segure a opção Desligar até aparecer “Reiniciar em modo seguro” → OK.
  3. No modo seguro, repita Configurações → Apps e desinstale o app suspeito.
  4. Reinicie normalmente depois.

7) Último recurso técnico: usar ADB para remover um pacote (avançado)

Só faça se souber usar ADB; requer um PC, cabo USB e Android Debugging ativado.

  1. Ative Configurações → Sistema → Opções do desenvolvedor → Depuração USB. (Se não estiver visível, ative: Configurações → Sistema → Sobre o telefone → toque em Número da versão 7 vezes).
  2. No PC (com ADB instalado), conecte o celular e autorize depuração.
  3. No terminal do PC:

adb devices           # confirma conexão

adb shell pm list packages | grep -i nome_do_app   # encontra o package name

adb shell pm uninstall --user 0 com.exemplo.pacote  # desinstala para o usuário atual

  • Se uninstall falhar, é possível usar adb shell e pm uninstall -k --user 0 <package>; pesquise antes de executar.
  • Aviso: comandos ADB podem causar perda de dados se feitos incorretamente. Só faça se confortável.

8) Scan com Play Protect e/ ou antivírus móvel

  1. Abra Google Play Store → Perfil (canto superior) → Play Protect → Verificar apps. Execute a verificação.
  2. Se quiser uma segunda opinião, use um antivírus mobile de boa reputação (faça o download pela Play Store). Não instale AVs de fontes desconhecidas.

9) Identificar sinais de exfiltração / atividade maliciosa

  • Envio automático de SMS para contatos.
  • Picos inexplicáveis no consumo de dados móveis. Veja: Configurações → Rede e internet → Uso de dados → apps com maior uso.
  • Novas permissões concedidas sem você.
  • Popups persistentes pedindo permissões ou pedindo para ser app padrão SMS.
  • Contatos reclamando de links estranhos recebidos do seu número.

Se notar qualquer um desses, considere as etapas de recuperação abaixo.

10) Recuperação e limpeza de contas

  1. Altere senhas importantes (Google, e-mail, bancos) a partir de outro dispositivo limpo. Ative a autenticação de dois fatores (2FA).
  2. Revogue sessões ativas: Google → Minha Conta → Dispositivos e encerre sessões desconhecidas.
  3. Avise bancos se houve acesso ou comportamento suspeito — peça monitoramento ou bloqueio temporário de serviços.
  4. Se o malware acessou contatos ou mensagens, avise contatos sobre possíveis mensagens maliciosas vindas do seu número.

11) Considerar Reset de Fábrica (quando usar)

  • Use reset de fábrica se: comportamento malicioso persistir, não conseguir remover o app, ou tiver sinais claros de exfiltração.
  • Antes de reset:
    • Faça backup de fotos/arquivos importantes (não reinstale APKs suspeitos ou backups de apps).
    • Anote apps essenciais para reinstalar somente pela Play Store.
  • Reset: Configurações → Sistema → Redefinir → Apagar todos os dados (redefinição de fábrica).
  • Depois do reset: instale apenas apps oficiais da Play Store, atualize Android e apps imediatamente, configure 2FA.

12) Boas práticas pós-incidente (prevenção)

  • Instale apps só pela Play Store. Verifique desenvolvedor, avaliações e número de downloads.
  • Nunca instale APKs vindos por Telegram, sites desconhecidos, ou que prometam “versões premium grátis”.
  • Não aceite apps desconhecidos como app padrão de SMS ou leitor de notificações sem razão.
  • Ative Google Play Protect. Mantenha Android e apps atualizados.
  • Use senhas fortes e 2FA. Faça backups regulares, mas prefira backups em nuvem oficiais.
  • Desconfie de links SMS/Telegram que pedem instalação de app.

13) Recursos e como reportar

  • Denuncie o app malicioso para a Google Play (se aparecer lá) e para canais de segurança/autoridades locais se houve prejuízo.
  • Se o malware veio por Telegram, reporte o canal e bloqueie.
  • Guarde evidências (nome do app, capturas de tela) caso precise abrir ocorrência na polícia.

14) Checklist rápido (resumo imprimível)

  1. Verificar lista de apps: remover apps que não reconhece.
  2. Desativar Admin do dispositivo para apps suspeitos.
  3. Desativar serviços de acessibilidade de apps desconhecidos.
  4. Verificar app padrão de SMS e alterar se necessário.
  5. Revogar permissões (SMS, armazenamento, câmera, acessibilidade).
  6. Reiniciar em Modo Seguro e desinstalar.
  7. Rodar Play Protect / antivírus.
  8. Alterar senhas e ativar 2FA (usar outro aparelho).
  9. Se necessário, reset de fábrica (backup primeiro).
  10. Reinstalar só pela Play Store e monitorar uso de dados.
Tags
Grupo Mugs

Postado por Grupo Mugs

Postar um comentário

0 Comentários