Instrukcje usuwania malware opbierającego za cel Androida fałszywym komunukatem „System Update”
Napisany przez Tomasa Meskauskasa,
Czym jest fałszywy RAT „System Update"?
RAT fałszywa aktualizacja „System Update" odnosi się do trojana zdalnego dostępu (RAT) atakującego urządzenia z Androidem, który często jest zamaskowany jako aplikacja oferująca aktualizacje systemu. Należy jednak wspomnieć, że ten trojan był obserwowany przy użyciu innego przebrania – aplikacji rzekomo dostarczającej wiadomości i transmisje na żywo z mistrzostw świata 2022 FIFA World Cup.
RAT to rodzaj złośliwego oprogramowania, które umożliwia zdalny dostęp i kontrolę nad zainfekowanymi urządzeniami. Te złośliwe programy są niezwykle wszechstronne i mają różne funkcje i zastosowania. Fałszywe złośliwe oprogramowanie „System Update" może wykonywać różne złośliwe działania, ze szczególnym naciskiem na szpiegowanie i zbieranie danych.
Przegląd RAT fałszywa aktualizacja „System Update"
Jako RAT – fałszywe malware „System Update" może umożliwić zdalny dostęp/kontrolę nad zainfekowanymi urządzeniami z Androidem. Po instalacji żąda szerokiej listy uprawnień, które pozwolą mu na wykonywanie złośliwych działań.
Program zyskuje dalszą kontrolę, nadużywając usług ułatwień dostępu Androida, które mają na celu oferowanie dodatkowej pomocy w interakcji z urządzeniem użytkownikom, którzy tego potrzebują. Usługi ułatwień dostępu obejmują następujące możliwości — czytanie z ekranu urządzenia, interakcję z ekranem dotykowym, symulowanie klawiatury itd.
Aby zapobiec dezaktywacji poprzez optymalizację baterii, ten trojan „System Update" prosi o pozwolenie na zwolnienie z tego procesu. Złośliwa aplikacja może również ukrywać się w menu urządzenia. Trojan może „obudzić" system, wyświetlając fałszywe powiadomienie "Searching for update..".
Ten RAT rozpoczyna swoją działalność od zebrania odpowiednich danych urządzenia (np. nazwy urządzenia, szczegółów systemu operacyjnego, statystyk pamięci, zainstalowanych aplikacji itp.). Jak wcześniej wspomniano, ten trojan ma szerokie możliwości spyware. Może na różne sposoby zarządzać połączeniami i SMS-ami oraz manipulować nimi, a nawet działać jako malware Toll Fraud.
Aby rozwinąć, może czytać, odbierać i kraść wiadomości tekstowe (SMS). Złośliwy program może wydobywać listy kontaktów, eksfiltrować dzienniki połączeń, nagrywać rozmowy telefoniczne, przekierowywać połączenia wychodzące, a nawet wykonywać je. Jego zdolność nagrywania dźwięku nie ogranicza się również do aktywnego połączenia. Złośliwe oprogramowanie może używać mikrofonu urządzenia na żądanie w dowolnym momencie.
Funkcjonalności RAT mogą być aktywowane automatycznie po odebraniu nowego: SMS-a, dodaniu kontaktu lub zainstalowaniu aplikacji. To malware obiera również za cel dane powiązane z komunikatorami, a mianowicie WhatsApp. Program może uzyskiwać wiadomości wysyłane za pomocą oprogramowania do obsługi wiadomości błyskawicznych, a także pliki jego bazy danych.
Może również sprawdzać odebrane powiadomienia i zawartość skopiowaną do schowka (bufor kopiuj-wklej). Geolokalizacja jest również śledzona za pomocą GPS lub danych sieciowych.
Trojan może wyszukiwać pliki według rozszerzenia (np. doc, .docx, .xls, .xlsx, pdf itp.) i eksfiltrować je. Ma również na celu kradzież obrazów i filmów, ale ponieważ te pliki są duże, a ich pobieranie byłoby znacznie bardziej zauważalne – malware zamiast tego eksfiltruje ich miniatury.
Procesy kradzieży nie są ograniczone dostępnością Wi-Fi, ponieważ ten fałszywy trojan „System Update" może wykorzystywać mobilną transmisję danych – chociaż w ramach określonych specyfikacji, aby nie wzbudzać zbyt wielu podejrzeń. Co więcej, kradzież obrazu nie ogranicza się do już istniejących - ponieważ program może wykorzystywać przednią i tylną kamerę urządzenia do ukradkowego robienia zdjęć.
RAT obiera za cel informacje związane z przeglądaniem i może ukraść je z przeglądarki Samsung Internet Browser, Google Chrome i Mozilla Firefox. Interesujące dane obejmują: odwiedzane adresy URL, przeglądane strony, wyszukiwane hasła, zakładki itp.
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje programy; stąd wszelkie przyszłe iteracje tego RAT mogą mieć inne/dodatkowe zdolności.
Podsumowując, obecność złośliwego oprogramowania, takiego jak RAT fałszywa aktualizacja „System Update" na urządzeniach, może prowadzić do poważnych problemów prywatności, strat finansowych, a nawet kradzieży tożsamości.
Jeśli uważasz, że twoje urządzenie jest zainfekowane tym lub innym złośliwym oprogramowaniem – zdecydowanie zalecamy skorzystanie z programu antywirusowego, aby je natychmiast usunąć.
| Nazwa | Fałszywy trojan zdalnego dostępu „System Update” |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja. |
| Nazwy wykrycia (fałszywego wariantu aktualizacji aplikacji) | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Spy.829.origin), ESET-NOD32 (Android/Spy.Agent.BOC), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Agent.ya), Pełna lista (VirusTotal) |
| Nazwy wykrycia (fałszywego wariantu aplikacji FIFA) | Avast-Mobile (Android:FakeSys-X [Spy]), ESET-NOD32 (wariant Android/Spy.Agent.BOC), Fortinet (Android/Agent.BOC!tr.spy), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.a), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są zmieniane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy internetowe, inżynieria społeczna, oszukańcze aplikacje, oszukańcze strony internetowe. |
| Zniszczenie | Skradzione dane osobowe (prywatne wiadomości, loginy/hasła itp.), zmniejszona wydajność urządzenia, szybkie rozładowywanie baterii, zmniejszona prędkość Internetu, ogromne straty danych, straty finansowe, skradziona tożsamość (złośliwe aplikacje mogą wykorzystywać aplikacje komunikacyjne). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady RAT obierających za cel Adroida
Przeanalizowaliśmy dziesiątki szkodliwych programów dla systemu Android, a IcRAT, Ahmyth, Cypher i PJobRAT to tylko niektóre przykłady RAT, których celem są te systemy operacyjne.
Malware może mieć szeroki zakres możliwości i zastosowań. Jednak niezależnie od tego, jak działa złośliwe oprogramowanie, jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być usunięte natychmiast po wykryciu.
Jak RAT fałszywa aktualizacja „System Update" dostał się na moje urządzenie?
RAT, o którym mowa, był rozpowszechniany pod przykrywką aplikacji o nazwie „System Update". Innym przebraniem jest aplikacja, która twierdzi, że oferuje aktualizacje i transmisje na żywo z Mistrzostw Świata FIFA 2022. Zaobserwowano, że ta aplikacja piłkarska była dystrybuowana za pośrednictwem strony na Facebooku poświęconej mistrzostwom w 2022 roku, która przekierowywała do złośliwej strony internetowej wykorzystującej to samo przebranie.
Jednak możliwe jest, że trojan ten rozsyła się również przy użyciu innych technik. Ogólnie rzecz biorąc, malware jest dystrybuowane za pomocą taktyk phishingu i socjotechniki.
Do najczęściej stosowanych metod dystrybucji należą: potajemne/zwodnicze pobrania, złośliwe załączniki/linki w poczcie spamowej (np. e-mailach, wiadomościach prywatnych/błyskawicznych, SMS-ach itp.), złośliwe reklamy, oszustwa internetowe, niewiarygodne kanały pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania peer-to-peer itp.), narzędzia do nielegalnej aktywacji programów („łamania" zabezpieczeń oprogramowania) oraz fałszywe aktualizacje.
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy sprawdzanie oprogramowania poprzez czytanie warunków i recenzji użytkowników/ekspertów, sprawdzanie niezbędnych uprawnień, weryfikowanie legalności programisty itp. Ponadto zalecamy pobieranie produktów wyłącznie z oficjalnych i zweryfikowanych źródeł.
Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ nielegalne narzędzia aktywacyjne („łamania" zabezpieczeń oprogramowania) i aktualizatory stron trzecich mogą zawierać malware.
Innym zaleceniem jest zachowanie ostrożności w przypadku przychodzących wiadomości e-mail, wiadomości prywatnych/błyskawicznych, SMS-ów i innych wiadomości. Załączniki/linki znajdujące się w podejrzanych lub nieistotnych wiadomościach nie mogą być otwierane, ponieważ mogą być złośliwe i powodować infekcje systemu.
Zalecamy również zachowanie czujności podczas przeglądania sieci, ponieważ oszukańcze i niebezpieczne treści online zwykle wyglądają na autentyczne i nieszkodliwe.
Najważniejsze jest, aby mieć zainstalowany i regularnie aktualizowany renomowany program antywirusowy. Tego oprogramowania należy używać do przeprowadzania regularnych skanów systemu oraz usuwania wykrytych zagrożeń i problemów.
RAT fałszywa aktualizacja „System Update" proszący o uprawnienia (źródło obrazu - ESET):
Strona na Facebooku promująca złośliwą witrynę dystrybuującą RAT fałszywa aktualizacja „System Update" (źródło obrazu - ESET):
Złośliwa witryna rozpowszechniająca RAT fałszywa aktualizacja „System Update":
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak przywrócić przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak przywrócić przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w "Trybie awaryjnym"?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprzwdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak przywrócić system do jego stanu domyślnego?
- Jak wyłączyć aplikacje, które mają uprawnienia administratora?
Usuń historię przeglądania z przeglądarki Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Stuknij „Wyczyść dane przeglądania". Wybierz zakładkę „ZAAWANSOWANE". Wybierz zakres czasu i typy danych, które chcesz usunąć i stuknij „Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Ustawienia".
Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny" i kliknij ją. Przewiń w dół, aż zobaczysz opcję „Powiadomienia" i stuknij ją.
Znajdź witryny, które wyświetlają powiadomienia przeglądarki. Stuknij je i kliknij „Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom w celu wyświetlania powiadomień. Jednak, jeśli ponownie odwiedzisz tę samą witrynę może ona ponownie poprosić o zgodę. Możesz wybrać czy udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji „Zablokowane" i nie będzie już prosić o zgodę).
Przywróć przeglądarkę Chrome:
Przejdź do sekcji „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Chrome". Wybierz ją i stuknij opcję „Pamięć".
Stuknij „ZARZĄDZAJ PAMIĘCIĄ", a następnie „WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając „OK". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Przewiń w dół, aż zobaczysz „Wyczyść prywatne dane" i stuknij tę opcję. Wybierz typy danych, które chcesz usunąć i stuknij „WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która wyświetla powiadomienia przeglądarki. Stuknij ikonę wyświetlaną po lewej stronie paska adresu URL (ikona niekoniecznie będzie oznaczać „Kłódkę") i wybierz „Edytuj ustawienia witryny".
W otwartym okienku pop-up zaznacz opcję „Powiadomienia" i stuknij „WYCZYŚĆ".
Przywróć przeglądarkę Firefox:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Firefox". Wybierz ją i wybierz opcję „Pamięć".
Stuknij „WYCZYŚĆ DANE" i potwierdź akcję stukając „USUŃ". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację. Wybierz ją i stuknij „Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. wyświetla się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego".
Uruchom urządzenie z Androidem w „Trybie awaryjnym":
„Tryb awaryjny" w systemie operacyjnym Android tymczasowo wyłącza uruchamianie wszystkich aplikacji innych firm. Korzystanie z tego trybu to dobry sposób na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają to, gdy urządzenie działa „normalnie").
Naciśnij przycisk „Zasilanie" i przytrzymaj go, aż zobaczysz ekran „Wyłącz". Stuknij ikonę „Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny" i będzie ją kliknąć, aby ponownie uruchomić urządzenie.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Konserwacja urządzenia" i stuknij ją.
Stuknij „Baterię" i sprawdź użycie każdej aplikacji. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Połączenia" i stuknij ją.
Przewiń w dół, aż zobaczysz „Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie zminimalizować zużycie danych. Dlatego znaczne wykorzystanie danych może wskazywać na obecność złośliwej aplikacji. Pamiętaj, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest połączone z siecią bezprzewodową. Z tego powodu należy sprawdzić użycie danych mobilnych i Wi-Fi.
Jeśli znajdziesz aplikację, która wykorzystuje znaczące dane, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jej natychmiastowe odinstalowanie.
Zainstaluj najnowsze aktualizacje oprogramowania:
Utrzymywanie aktualności oprogramowania to dobra praktyka zapewniająca bezpieczeństwo urządzeń. Producenci urządzeń nieustannie publikują różne łatki bezpieczeństwa i aktualizacje Androida, aby naprawić błędy i luki, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki. Dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Aktualizacje oprogramowania" i stuknij ją.
Stuknij opcję „Pobierz aktualizacje ręcznie" i sprawdź, czy są dostępne aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie". Pozwoli to systemowi powiadomić cię o wydaniu aktualizacji i/lub zainstalować ją automatycznie.
Przywróć system do stanu domyślnego:
Wykonanie „Resetu do ustawień fabrycznych" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie ustawień systemowych do wartości domyślnych i ogólne wyczyszczenie urządzenia. Pamiętaj również, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS itd. Oznacza to, że urządzenie zostanie przywrócone do stanu początkowego/fabrycznego.
Możesz także przywrócić podstawowe ustawienia systemowe lub po prostu ustawienia sieciowe.
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz opcję „Informacje o telefonie" i stuknij ją.
Przewiń w dół, aż zobaczysz opcję „Przywróć" i stuknij ją. Teraz wybierz akcję, którą chcesz wykonać:
„Przywróć ustawienia" – przywróć wszystkie ustawienia systemowe do domyślnych;
„Przywróć ustawienia sieciowe" – przywróć wszystkie ustawienia związane z siecią do domyślnych;
„Przywróć dane fabryczne" – przywróć cały system i całkowicie usuń wszystkie zapisane dane.
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby urządzenie było jak najbardziej bezpieczne, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Blokadę ekranu i bezpieczeństwo" i stuknij ją.
Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń". Stuknij tę opcję, a następnie stuknij „Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora. Stuknij je, a następnie stuknij „WYŁĄCZ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane RAT fałszywa aktualizacja „System Update". Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Nie, większość złośliwych programów można usunąć bez formatowania.
Jakie są największe problemy, jakie może powodować malware RAT fałszywa aktualizacja „System Update"?
Zagrożenia stwarzane przez malware zależą od jego funkcjonalności i celów cyberprzestępców. Malware fałszywa aktualizacja „System Update" to wielofunkcyjny trojan dostępu zdalnego (RAT), który ma rozbudowane możliwości spyware i kradzieży. Zwykle takie infekcje mogą powodować poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jaki jest cel malware RAT fałszywa aktualizacja „System Update"?
W większości przypadków malware służy do generowania przychodów. Jednak cyberprzestępcy mogą również wykorzystywać te programy z różnych powodów, np. w celu rozrywki, przeprowadzania osobistych wendet, zakłócania procesów (np. stron internetowych, usług, firm itp.) oraz przeprowadzania ataków motywowanych politycznie/geopolitycznie.
Jak malware RAT fałszywa aktualizacja „System Update" przeniknęło do mojego urządzenia z Androidem?
RAT, o którym mowa, został zaobserwowany w przebraniu aplikacji o nazwie „System Update" i aplikacji, która twierdzi, że dostarcza treści związane z Mistrzostwami Świata FIFA 2022. Ta ostatnia była dystrybuowana za pośrednictwem strony Facebooka o tematyce mistrzostw świata, promującej witrynę dystrybuującą złośliwą aplikację.
Można jednak zastosować również inne techniki dystrybucji. Najszerzej stosowane to: pobrania metodą drive-by, oszustwa online, e-maile i wiadomości spamowe, podejrzane kanały pobierania (np. strony z freeware i bezpłatnym hostingiem plików, sieci udostępniania peer-to-peer itp.), narzędzia do nielegalnej aktywacji programów („łamania" zabezpieczeń oprogramowania), fałszywych aktualizacji i złośliwych reklam.
Znakomita!
▼ Pokaż dyskusję