Celular com vírus: como identificar e remover (Android e iPhone)

Passo a passo — o que fazer

1. 1

   1. Ative o modo avião imediatamente

   Se suspeitar de infecção ativa, coloque o celular em modo avião para interromper a comunicação do malware com servidores externos enquanto você investiga. Isso não elimina o vírus, mas limita o vazamento de dados em andamento.

2. 2

   2. Verifique apps instalados recentemente

   No Android: Configurações > Apps > ordenar por data de instalação. No iPhone: Configurações > Geral > Armazenamento do iPhone. Remova qualquer app que você não reconheça ou não se lembre de ter instalado.

3. 3

   3. Reinicie no modo de segurança (Android)

   Pressione e segure o botão de energia, depois pressione e segure 'Desligar' até aparecer a opção 'Reiniciar no modo de segurança'. Nesse modo, apenas apps do sistema rodam — se o comportamento estranho parar, um app de terceiros é o culpado. Desinstale os suspeitos e reinicie normalmente.

4. 4

   4. Revogue permissões excessivas

   No Android: Configurações > Privacidade > Gerenciador de permissões. No iPhone: Configurações > Privacidade e Segurança. Remova acesso à câmera, microfone, localização e contatos de qualquer app que não precise desses recursos para funcionar.

5. 5

   5. Verifique e remova perfis de configuração (iPhone)

   Acesse Configurações > Geral > VPN e Gerenciamento de Dispositivo. Se houver algum perfil que você não reconhece ou não instalou intencionalmente, toque nele e selecione 'Remover Perfil'. Perfis maliciosos podem redirecionar tráfego e instalar certificados falsos.

6. 6

   6. Atualize o sistema operacional

   A maioria das infecções explora vulnerabilidades já corrigidas em versões mais recentes do Android ou do iOS. Acesse Configurações > Sistema > Atualização do sistema (Android) ou Configurações > Geral > Atualização de Software (iPhone) e instale todas as atualizações disponíveis.

7. 7

   7. Altere senhas em dispositivo limpo

   Se o celular foi comprometido, troque as senhas das contas críticas (e-mail, banco, redes sociais) usando outro dispositivo ou computador seguro — nunca pelo celular suspeito, pois o malware pode capturar o que você digita.

8. 8

   8. Restauração de fábrica como último recurso

   Se os passos anteriores não resolverem, faça backup apenas de fotos e documentos pessoais (evite backups completos que podem incluir o malware) e execute a restauração de fábrica: Android: Configurações > Sistema > Opções de reset > Apagar todos os dados. iPhone: Configurações > Geral > Transferir ou Redefinir iPhone > Apagar todo o conteúdo.

Android e iPhone: riscos diferentes, abordagens diferentes

O Android e o iOS têm arquiteturas de segurança distintas, e isso muda completamente como cada um é comprometido. No Android, a principal porta de entrada é a instalação de apps fora da Play Store — o que o Google chama de 'sideloading'. Um APK baixado de site desconhecido, link recebido no WhatsApp ou loja alternativa pode conter malware embutido. Além disso, apps maliciosos ocasionalmente escapam das verificações da própria Play Store, especialmente em categorias menos monitoradas.

No iPhone, o modelo de segurança da Apple é mais restritivo: apps só podem ser instalados pela App Store (exceto via TestFlight ou perfis corporativos), e o iOS isola rigidamente cada aplicativo dos demais. Por isso, 'vírus clássico' que se espalha entre apps praticamente não existe no iPhone. O risco real são perfis de configuração MDM maliciosos, que podem redirecionar tráfego e instalar certificados falsos, e apps abusivos que solicitam permissões além do necessário. iPhones com jailbreak perdem essas proteções e se tornam tão vulneráveis quanto qualquer Android.

Para ambos os sistemas, o elo mais fraco continua sendo o comportamento do usuário: clicar em links de phishing, conceder permissões sem ler, usar redes Wi-Fi abertas sem VPN e não atualizar o sistema operacional são os vetores que mais facilitam comprometimentos, independentemente de qual celular você usa.

Stalkerware: o malware que espia sem aparecer

Stalkerware é uma categoria específica de spyware instalada intencionalmente por alguém com acesso físico ao celular — um parceiro controlador, familiar ou, no contexto corporativo, um empregador sem política clara de BYOD. Esses aplicativos se disfarçam com nomes genéricos como 'Phone Monitor', 'System Service' ou simplesmente ficam ocultos da lista de apps.

O stalkerware tipicamente monitora localização em tempo real, lê mensagens (WhatsApp, SMS, e-mail), escuta chamadas e às vezes ativa o microfone e a câmera remotamente. A Coalização contra Stalkerware (coalizão internacional que inclui pesquisadores de segurança e ONGs) documenta milhares de casos por ano. A cartilha.cert.br, iniciativa do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, classifica stalkerware como software malicioso e orienta vítimas a buscar apoio antes de remover o app — pois a remoção pode alertar o agressor.

Se você suspeita de stalkerware por razões de segurança pessoal, consulte primeiro recursos como o safercybersecurity.org ou o suporte da Coalização contra Stalkerware antes de agir. Se o contexto é corporativo (celular da empresa ou BYOD), acione imediatamente a equipe de segurança da informação da organização.

Apps falsos: como identificar antes de instalar

Apps que imitam aplicativos legítimos — bancos, carteiras de criptomoeda, jogos populares, ferramentas de produtividade — são responsáveis por grande parte das infecções em dispositivos móveis. Eles são projetados para parecer idênticos ao original, mas roubam credenciais ou instalam malware adicional.

Antes de instalar qualquer app, verifique: o nome exato do desenvolvedor (não apenas o nome do app), a data de publicação (apps fraudulentos costumam ser recentes), o número de avaliações (poucos reviews em app que deveria ser popular é sinal de alerta) e os comentários negativos que mencionam comportamento suspeito. No Android, a Play Store exibe o desenvolvedor logo abaixo do nome do app — clique nele para ver outros apps publicados pela mesma conta.

Nunca instale apps de bancos ou serviços financeiros a partir de links recebidos por WhatsApp, SMS ou e-mail, mesmo que o remetente pareça ser o próprio banco. Acesse sempre a loja oficial e busque pelo nome da instituição diretamente.

Celular corporativo e BYOD: o risco vai além do pessoal

Quando um celular infectado acessa e-mail corporativo, sistemas internos, VPN da empresa ou aplicativos de gestão, o problema deixa de ser individual e passa a ameaçar a organização inteira. Credenciais corporativas capturadas por malware no celular de um colaborador podem abrir caminho para ataques de engenharia social, acesso não autorizado a sistemas críticos e vazamento de dados de clientes.

Esse cenário é chamado de risco BYOD — Bring Your Own Device (use seu próprio dispositivo). Empresas sem política formal de BYOD não têm visibilidade sobre quais dispositivos acessam seus sistemas, quais apps estão instalados nesses dispositivos e se os sistemas operacionais estão atualizados. O resultado prático é uma superfície de ataque ampla e invisível para o time de segurança.

As melhores práticas para empresas incluem exigir atualização mínima de SO para acesso corporativo, implantar solução de Gerenciamento de Dispositivos Móveis (MDM) que permita inventariar e isolar dispositivos comprometidos, segmentar o acesso de dispositivos pessoais em relação a sistemas críticos, e treinar colaboradores para reconhecer os sinais de comprometimento descritos neste artigo. O CERT.br documenta boas práticas para gestão de dispositivos em ambientes corporativos em cert.br/publicacoes.

Um celular comprometido de um colaborador com acesso privilegiado — diretores, equipe financeira, TI — pode ser o ponto de entrada de um incidente de grande escala. A detecção precoce por parte do próprio colaborador, combinada com um canal claro de reporte para a equipe de segurança, reduz drasticamente o tempo de resposta e o impacto.

Quando procurar ajuda especializada

Para a maioria das pessoas, os passos descritos neste artigo são suficientes para remover infecções comuns e retomar o controle do dispositivo. Mas há situações em que a ajuda de um profissional é necessária: quando você suspeita de stalkerware em contexto de violência doméstica (a remoção deve ser planejada com segurança), quando o celular é corporativo e pode ter havido acesso indevido a sistemas da empresa, ou quando os sintomas persistem mesmo após restauração de fábrica — o que pode indicar comprometimento de firmware, raro mas documentado em dispositivos de baixo custo com software de fábrica adulterado.

No Brasil, o CERT.br (cert.br) é o grupo de resposta a incidentes que coordena o tratamento de incidentes de segurança em escala nacional. Para usuários comuns, a cartilha.cert.br oferece guias em linguagem acessível sobre proteção de dispositivos. Para empresas, o canal de reporte de incidentes do CERT.br permite notificar casos com impacto em infraestrutura ou dados de terceiros.

Empresas de qualquer porte — de microempresas a grandes corporações — que identifiquem dispositivos comprometidos com acesso a sistemas internos devem acionar imediatamente a equipe de segurança ou um parceiro especializado. O tempo entre a descoberta e a contenção é o fator que mais determina o impacto final de um incidente.

Termos importantes

Malware

Termo genérico para qualquer software criado com intenção maliciosa, incluindo vírus, trojans, spyware, adware e ransomware. No contexto de celulares, a maioria dos malwares não se replica como vírus clássicos, mas se instala disfarçado de app legítimo e opera silenciosamente em segundo plano.

Stalkerware

Tipo de spyware instalado por uma pessoa com acesso físico ao dispositivo para monitorar a vítima sem seu conhecimento. Diferente de malware comum, stalkerware é ferramenta de controle e vigilância, frequentemente associado a situações de violência doméstica ou abuso. Documentado como ameaça pela Coalização contra Stalkerware e classificado como software malicioso pela cartilha.cert.br.

Modo de segurança (Android)

Estado de inicialização do Android que carrega apenas apps do sistema operacional, desativando todos os aplicativos de terceiros instalados pelo usuário. Útil para diagnosticar se um app instalado está causando comportamento malicioso, pois os sintomas param nesse modo se a causa for um app externo.

MDM — Gerenciamento de Dispositivos Móveis

Solução de software que permite às empresas monitorar, configurar, proteger e, se necessário, bloquear ou apagar remotamente dispositivos móveis usados para trabalho. Um MDM permite que a equipe de TI veja quais apps estão instalados, se o SO está atualizado e isole um dispositivo comprometido sem acesso físico a ele.

Perguntas frequentes