Jak usunąć trojana bankowego PhantomCard z urządzenia z systemem Android

Czym jest złośliwe oprogramowanie PhantomCard?

PhantomCard to trojan bankowy atakujący urządzenia z systemem Android. To złośliwe oprogramowanie jest oferowane jako MaaS (Malware-as-a-Service) przez podmiot grożący o pseudonimie „Go1ano developer”. PhantomCard nie zostało opracowane przez „Go1ano developer”; jest to niestandardowe złośliwe oprogramowanie oparte na „NFU Pay” MaaS stworzone przez chińskojęzyczny podmiot grożący, co zasadniczo czyni „Go1ano developer” odsprzedawcą.

PhantomCard został zaprojektowany do przekazywania danych NFC w celu ułatwienia nieuczciwego korzystania z kart kredytowych/debetowych. Trojan jest dostosowany do ataków na użytkowników w Brazylii. Jednak usługa „NFU Pay” może tworzyć wersje złośliwego oprogramowania dostosowane do różnych specyfikacji, a „Go1ano developer” twierdzi, że działa na całym świecie. W związku z tym kampania PhantomCard może się rozszerzyć.

Omówienie złośliwego oprogramowania PhantomCard

W obserwowanej kampanii skierowanej do użytkowników z Brazylii PhantomCard infiltrował urządzenia z systemem Android jako aplikacja zabezpieczająca karty kredytowe/debetowe. Fałszywa aplikacja „Proteção Cartões” była rozpowszechniana za pośrednictwem oszukańczych stron internetowych imitujących sklep Google Play.

W przeciwieństwie do wielu programów złośliwych przeznaczonych dla systemu Android, to złośliwe oprogramowanie nie wymaga od ofiary udzielania wielu podejrzanych uprawnień. PhantomCard (pod pozorem aplikacji do ochrony kart) prosi użytkownika o przyłożenie karty do tylnej części smartfona w celu zainicjowania procesu weryfikacji. Po wykonaniu tego kroku następna strona potwierdza to i instruuje, aby trzymać kartę w pobliżu do momentu zakończenia uwierzytelniania.

Podczas fałszywego procesu PhantomCard przygotowuje się do wysłania sygnału NFC (Near-Field Communication) do urządzenia atakujących; następnie jest on przesyłany przez serwer przekaźnikowy NFC kontrolowany przez cyberprzestępców.

Na kolejnym ekranie ofiara proszona jest o wprowadzenie numeru PIN karty w celu weryfikacji. Po wprowadzeniu numeru PIN pojawia się nowa strona z informacją o weryfikacji karty i synchronizacji z bankiem.

Dzięki temu zwodniczemu procesowi trojan tworzy kanał między kartą ofiary a urządzeniem atakującego, który może następnie wykorzystać w bankomacie (bankomacie) w celu wypłacenia środków gotówkowych lub w terminalu płatniczym w celu realizacji płatności zbliżeniowych. Ponieważ atakujący uzyskują również numer PIN, umożliwia im to ominięcie wszelkich operacji finansowych, które wymagałyby podania tego kodu.

Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego potencjalne przyszłe wersje PhantomCard mogą mieć inne przebrania lub dodatkowe/inne funkcje i cechy.

Podsumowując, obecność złośliwego oprogramowania, takiego jak PhantomCard, na urządzeniach może spowodować poważne problemy z prywatnością i znaczne straty finansowe.

Przykłady trojanów bankowych

Pisaliśmy już o wielu złośliwych programach, takich jak DoubleTrouble, TsarBot, Marcher, Brokewell oraz Greenbean to tylko niektóre z naszych najnowszych artykułów na temat trojanów bankowych atakujących system Android.

Złośliwe oprogramowanie to szerokie pojęcie obejmujące oprogramowanie o różnorodnych szkodliwych funkcjach, od wyodrębniania poufnych danych po szyfrowanie danych w celu żądania okupu za ich odszyfrowanie (ransomware). Jednak niezależnie od sposobu działania złośliwego oprogramowania, jego obecność zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia należy natychmiast eliminować po ich wykryciu.

W jaki sposób PhantomCard przeniknęło do mojego urządzenia?

W znanej kampanii PhantomCard zostało ono zamaskowane jako aplikacja o nazwie „Proteção Cartões” („Ochrona kart”) i skierowane do użytkowników w Brazylii. Ta fałszywa aplikacja była dystrybuowana za pośrednictwem oszukańczych stron internetowych Google Play. Odkryte strony imitujące były przekonujące i zawierały fałszywe recenzje chwalące aplikację.

Należy jednak wspomnieć, że PhantomCard może infiltrować urządzenia pod różnymi postaciami i rozprzestrzeniać się przy użyciu innych metod. Ogólnie rzecz biorąc, phishing i inżynieria społeczna są standardowymi metodami dystrybucji złośliwego oprogramowania. Złośliwe programy są zazwyczaj podszywane pod zwykłe oprogramowanie/nośniki lub dołączane do nich.

Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez niewiarygodne kanały pobierania (np. strony z darmowym oprogramowaniem i darmowymi serwisami hostingowymi, sieci wymiany plików peer-to-peer, sklepy z aplikacjami innych producentów itp.), pobieranie typu drive-by (ukryte/podstępne), złośliwe reklamy, złośliwe załączniki/linki w spamie (np. e-maile, wiadomości prywatne/publikacje w mediach społecznościowych itp.), oszustwa internetowe, pirackie treści, nielegalne narzędzia do aktywacji oprogramowania („cracki”) oraz fałszywe aktualizacje.

Ponadto niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej (np. zewnętrzne dyski twarde, pamięci USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Ostrożność jest niezbędna do zapewnienia bezpieczeństwa urządzenia i użytkownika. Dlatego przed pobraniem/zakupem oprogramowania należy zawsze zapoznać się z warunkami, sprawdzić niezbędne uprawnienia i zweryfikować legalność dewelopera. Pobieraj oprogramowanie wyłącznie z oficjalnych i godnych zaufania kanałów. Aktywuj i aktualizuj programy za pomocą legalnych funkcji/narzędzi, ponieważ te nabyte od stron trzecich mogą zawierać złośliwe oprogramowanie.

Ponadto należy zachować czujność podczas przeglądania stron internetowych, ponieważ w Internecie roi się od oszukańczych i złośliwych treści. Zachowaj ostrożność w przypadku przychodzących wiadomości e-mail i innych wiadomości; nie otwieraj załączników ani linków znajdujących się w podejrzanych wiadomościach.

Niezwykle ważne jest zainstalowanie niezawodnego programu antywirusowego i jego regularne aktualizowanie. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń.

PhantomCard proszący ofiarę o dotknięcie kartą w celu rozpoczęcia weryfikacji:

Ekran wyświetlany po zakończeniu pierwszego kroku:

PhantomCard proszący ofiarę o wprowadzenie numeru PIN karty:

Fałszywy proces weryfikacji wyświetlany po wprowadzeniu kodu PIN:

Wygląd fałszywej strony Google Play używanej do promowania PhantomCard:

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o przyznanie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłączanie”. Naciśnij ikonę „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system powiadomi Cię o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Resetuj dane fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie z systemem Android jest zainfekowane złośliwym oprogramowaniem PhantomCard. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie PhantomCard?

Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i celów atakujących. PhantomCard przekazuje dane NFC ofiar, umożliwiając atakującym korzystanie z ich kart kredytowych/debetowych w bankomatach i terminalach płatniczych. W związku z tym trojan ten może powodować poważne problemy związane z prywatnością i straty finansowe.

Jaki jest cel złośliwego oprogramowania PhantomCard?

W większości przypadków złośliwe oprogramowanie służy do generowania przychodów, a PhantomCard nie jest tu wyjątkiem. Jednak złośliwe oprogramowanie może być również wykorzystywane przez cyberprzestępców dla rozrywki lub realizacji osobistych urazów, zakłócania procesów (np. stron internetowych, usług, firm itp.), haktywizmu oraz ataków motywowanych politycznie/geopolitycznie.

W jaki sposób złośliwe oprogramowanie PhantomCard przeniknęło do mojego urządzenia z systemem Android?

PhantomCard było rozpowszechniane pod pozorem aplikacji „Proteção Cartões” za pośrednictwem fałszywych stron Google Play Store. Nie wyklucza się również innych metod dystrybucji.

Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez pobieranie drive-by, złośliwe reklamy, spam, oszustwa internetowe, podejrzane kanały pobierania (np. strony z darmowym oprogramowaniem i strony stron trzecich, sieci wymiany plików P2P, sklepy z aplikacjami stron trzecich itp.), nielegalne narzędzia do aktywacji oprogramowania („cracki”) oraz fałszywe aktualizacje. Niektóre złośliwe programy mogą nawet samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner jest w stanie wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wykonanie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane złośliwe programy zazwyczaj ukrywają się głęboko w systemach.