Jak usunąć DoubleTrouble z zainfekowanych urządzeń z systemem Android

Czym jest DoubleTrouble?

DoubleTrouble to trojan bankowy atakujący użytkowników systemu Android. Jest on w stanie wykraść różne informacje przy użyciu różnych technik. Początkowo DoubleTrouble rozprzestrzeniał się za pośrednictwem stron phishingowych naśladujących główne europejskie banki, ale obecnie jest dostarczany za pomocą fałszywych stron internetowych hostujących złośliwe oprogramowanie bezpośrednio na kanałach Discord.

Szczegółowe informacje o DoubleTrouble

DoubleTrouble ukrywa swoje prawdziwe przeznaczenie, używając mylących nazw dla swoich części, co utrudnia analizę. Działa podobnie jak najnowsze złośliwe oprogramowanie bankowe — DoubleTrouble wykorzystuje usługi ułatwień dostępu systemu Android do wykonywania złośliwych działań. Ponadto ukrywa swój szkodliwy kod w aplikacji i udaje zaufane rozszerzenie, używając nawet ikony Google Play.

Po instalacji prosi użytkownika o włączenie usług ułatwień dostępu, co pozwala złośliwemu oprogramowaniu na kradzież informacji i przejęcie kontroli nad urządzeniem bez zauważenia. Należy zauważyć, że DoubleTrouble było z czasem aktualizowane.

Najnowsza wersja posiada funkcje, które sprawiają, że jest ono znacznie bardziej niebezpieczne niż wcześniej. Teraz może skuteczniej kraść dane, uzyskać lepszą kontrolę nad urządzeniami i uniknąć wykrycia. Niektóre z tych nowych możliwości obejmują wyświetlanie fałszywych ekranów w celu przechwycenia kodów PIN lub wzorów odblokowujących, rejestrowanie wszystkiego, co pojawia się na ekranie, uniemożliwianie otwierania niektórych aplikacji oraz rejestrowanie wszystkiego, co wpisuje ofiara.

DoubleTrouble może wyświetlać fałszywe ekrany blokady, które wyglądają jak prawdziwe, i prosić użytkownika o wprowadzenie kodu PIN, hasła lub wzoru odblokowania. Tworzy te fałszywe ekrany za pomocą specjalnych narzędzi z bibliotek open source. Gdy ofiara wpisuje swoje dane, złośliwe oprogramowanie przechwytuje je i wysyła do atakujących.

Złośliwe oprogramowanie może również rejestrować to, co dzieje się na ekranie ofiary, prosząc w ukryty sposób o pozwolenie na przechwytywanie ekranu. Po uzyskaniu pozwolenia monitoruje ekran w czasie rzeczywistym i robi jego zdjęcia. Obrazy te są następnie wysyłane do atakujących, aby mogli oni zobaczyć wszystko, co robi użytkownik, w tym hasła, dane bankowe i inne poufne informacje.

Ponadto DoubleTrouble może blokować niektóre aplikacje, zwłaszcza aplikacje bankowe lub zabezpieczające, korzystając z listy otrzymanej z serwera kontrolnego. Gdy zauważy, że użytkownik otwiera jedną z tych aplikacji, wyświetla fałszywe „powiadomienie o konserwacji systemu”, aby uniemożliwić dostęp. To zakłócenie pomaga złośliwemu oprogramowaniu przeprowadzać dalsze ataki, takie jak wyświetlanie fałszywych ekranów logowania w celu kradzieży informacji.

Ponadto złośliwe oprogramowanie zawiera zaawansowany keylogger, który rejestruje wszystko, co użytkownik wpisuje w czasie rzeczywistym. Obserwuje zmiany w polach tekstowych (np. gdy ktoś wpisuje wiadomość, wypełnia hasło lub edytuje dowolny tekst). DoubleTrouble śledzi również, które aplikacje otwiera ofiara i które aplikacje są zainstalowane na urządzeniu.

Dodatkowo DoubleTrouble wykorzystuje fałszywe ekrany lub nakładki, aby nakłonić użytkowników do podania danych osobowych, takich jak nazwy użytkownika, hasła lub dane kart kredytowych. Te fałszywe formularze są tak zaprojektowane, aby wyglądały jak część prawdziwych aplikacji — na przykład fałszywy ekran „Weryfikacja konta” dla Sklepu Play.

Gdy użytkownik wprowadzi swoje dane, są one przechwytywane, a następnie wysyłane do atakujących. Wreszcie, DoubleTrouble może symulować działania użytkownika, takie jak naciskanie przycisków Home lub Wstecz, klikanie, przesuwanie palcem lub otwieranie aplikacji i ustawień. Może również wyświetlać niestandardowe powiadomienia, blokować lub odblokowywać aplikacje oraz manipulować ustawieniami Play Protect.

Wnioski

DoubleTrouble stanowi poważne zagrożenie dla ofiar, ponieważ w sposób niezauważalny kradnie poufne informacje. Ofiary mogą ponieść straty finansowe, stać się ofiarami kradzieży tożsamości i nieuprawnionego dostępu do swoich kont. Blokując aplikacje zabezpieczające i naśladując zaufane interfejsy, DoubleTrouble utrudnia wykrycie, umożliwiając działanie złośliwego oprogramowania niezauważalnie.

W przypadku wykrycia w systemie, DoubleTrouble należy jak najszybciej usunąć. Oto więcej przykładów złośliwego oprogramowania atakującego użytkowników Androida: Konfety, Qwizzserial oraz SparkKitty.

W jaki sposób DoubleTrouble przeniknął do mojego urządzenia?

DoubleTrouble jest głównie dostarczany za pośrednictwem fałszywych stron internetowych, które udają, że oferują legalne treści lub pliki do pobrania. Te oszukańcze strony zawierają złośliwe oprogramowanie i są często promowane na kanałach Discord. Ofiary są nakłaniane do odwiedzenia tych stron i pobrania oprogramowania, które wydaje się być przydatne, ale w rzeczywistości instalują złośliwe oprogramowanie.

Jak uniknąć instalacji złośliwego oprogramowania?

Zachowaj ostrożność w przypadku wiadomości e-mail lub innych wiadomości — nie otwieraj załączników ani nie klikaj linków, jeśli wiadomość wydaje się podejrzana (np. jest nieoczekiwana lub nieistotna). Aktualizuj system operacyjny i aplikacje oraz korzystaj z niezawodnego oprogramowania antywirusowego.

Pobieraj programy i pliki wyłącznie z zaufanych źródeł, takich jak oficjalne strony internetowe lub sprawdzone sklepy z aplikacjami. Nie wchodź w interakcje z wyskakującymi okienkami, reklamami lub przyciskami na podejrzanych stronach internetowych i nigdy nie udzielaj podejrzanym witrynom zgody na wysyłanie powiadomień.

Ekrany wyświetlane podczas instalacji (źródło: zimperium.com):

Interfejs służący do kradzieży informacji z ekranu blokady (źródło: zimperium.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o przyznanie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłączanie”. Naciśnij ikonę „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system powiadomi Cię o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Resetuj dane fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem DoubleTrouble. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

DoubleTrouble można prawdopodobnie usunąć bez formatowania urządzenia. Aby wykryć i wyeliminować złośliwe oprogramowanie, zaleca się uruchomienie renomowanego oprogramowania antywirusowego dla urządzeń mobilnych, takiego jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

W zależności od rodzaju złośliwego oprogramowania i jego możliwości, konsekwencje mogą obejmować kradzież tożsamości, straty finansowe, obniżenie wydajności urządzenia i dodatkowe infekcje.

Jaki jest cel DoubleTroublee?

Celem DoubleTrouble jest kradzież poufnych informacji, takich jak kody PIN, hasła i dane osobowe, poprzez oszukiwanie użytkowników fałszywymi ekranami i potajemne rejestrowanie aktywności ich urządzeń. Przejmuje również kontrolę nad urządzeniem, aby blokować aplikacje i monitorować wszystko, co wpisuje użytkownik.

W jaki sposób DoubleTrouble przeniknął do mojego urządzenia?

DoubleTrouble zazwyczaj infekuje urządzenia poprzez fałszywe strony internetowe, które wyglądają na legalne i są często udostępniane na Discordzie. Użytkownicy są nakłaniani do pobrania oprogramowania, które wydaje się przydatne, ale w rzeczywistości instaluje złośliwe oprogramowanie.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner może wykrywać i usuwać prawie wszystkie znane złośliwe oprogramowania. Ponieważ zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, konieczne jest przeprowadzenie pełnego skanowania systemu.