Jak usunąć ClayRat z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie ClayRat?

ClayRat to oprogramowanie szpiegowskie dla systemu Android, które atakuje głównie użytkowników w Rosji. Jest ono zamaskowane jako różne popularne aplikacje, aby nakłonić niczego niepodejrzewających użytkowników do jego zainstalowania. Po infiltracji urządzenia złośliwe oprogramowanie może przechwycić różne poufne informacje i dalej rozprzestrzeniać się poprzez zainfekowane urządzenia. W przypadku wykrycia na urządzeniu, ClayRat należy jak najszybciej usunąć.

ClayRat w szczegółach

ClayRat komunikuje się z serwerami atakujących za pomocą standardowych połączeń internetowych. Złośliwe oprogramowanie dodaje do swoich danych specjalny kod, aby ukryć to, co wysyła. Inna wersja ClayRat szyfruje swoją komunikację, aby utrudnić jej wykrycie.

ClayRat wykorzystuje specjalne ustawienie systemu Android zwane domyślnym programem obsługi wiadomości SMS. Aplikacja z tym ustawieniem może wyświetlać wszystkie wiadomości tekstowe i zarządzać nimi. Dzięki kontroli nad tym ustawieniem oprogramowanie szpiegowskie może odczytywać dowolne wiadomości, wysyłać SMS-y bez potwierdzenia od ofiar, przechwytywać wiadomości, zanim zobaczą je inne aplikacje, oraz uzyskać dostęp do danych SMS lub je zmieniać, aby stale monitorować komunikację.

Zasadniczo ClayRat może wykorzystywać rolę obsługi SMS-ów do kradzieży danych, szpiegowania użytkowników i szerokiego rozprzestrzeniania się, omijając zwykłe zabezpieczenia. Złośliwe oprogramowanie może również robić zdjęcia (zwykle przednim aparatem) i przesyłać je na serwer dowodzenia i kontroli (C2).

Może również odbierać zdalne polecenia dotyczące przesyłania wiadomości SMS, historii połączeń i powiadomień na serwer oraz przechwytywać informacje o urządzeniu. Należy pamiętać, że oprogramowanie szpiegujące może automatycznie wysyłać wiadomości do wszystkich kontaktów w urządzeniu ofiary, zawierające złośliwy link.

Każde zainfekowane urządzenie pomaga w szybkim rozprzestrzenianiu się złośliwego oprogramowania poprzez wysyłanie linku do zaufanych kontaktów.

Wnioski

Podsumowując, ClayRat to oprogramowanie szpiegowskie dla systemu Android, które może szpiegować ofiary, kraść poufne dane, robić zdjęcia i automatycznie rozprzestrzeniać się za pośrednictwem wiadomości SMS. Wykorzystując potężne uprawnienia systemowe, omija normalne zabezpieczenia i wykorzystuje zainfekowane urządzenia do dalszego rozprzestrzeniania złośliwego oprogramowania.

W jaki sposób ClayRat przeniknął do mojego urządzenia?

ClayRat jest dostarczany za pomocą socjotechniki i fałszywych stron internetowych. Osoby odpowiedzialne za zagrożenia wykorzystują sfałszowane domeny i strony phishingowe, aby przekierować ofiary do kanałów Telegramu, na których znajduje się złośliwy plik APK. Często podają instrukcje, w których zalecają użytkownikom zignorowanie ostrzeżeń dotyczących bezpieczeństwa i zainstalowanie złośliwego oprogramowania.

Cyberprzestępcy poszerzają swój zasięg, tworząc fałszywe pozytywne komentarze i zawyżając liczbę pobrań, aby ich kanały Telegram wyglądały na godne zaufania. Jeśli chodzi o strony phishingowe, atakujący tworzą fałszywe strony pobierania popularnych aplikacji, takich jak YouTube Plus, WhatsApp, Google Photos i TikTok.

Witryny te zawierają pliki APK podszywające się pod legalne aktualizacje lub dodatki i często naśladują oficjalne strony internetowe, podając instrukcje, które nakłaniają użytkowników do pobrania złośliwej aplikacji.

Niektóre aplikacje ClayRat działają jako droppery, które wyświetlają fałszywy ekran aktualizacji Play Store, ukrywając prawdziwe złośliwe oprogramowanie wewnątrz aplikacji. To sprawia, że użytkownicy myślą, że instalacja jest bezpieczna, co zwiększa prawdopodobieństwo zainstalowania oprogramowania szpiegującego.

Ponadto ClayRat wykorzystywał listę kontaktów ofiary do wysyłania fałszywych wiadomości do jej znajomych. Ponieważ wiadomości te wydają się pochodzić od zaufanego nadawcy, odbiorcy są bardziej skłonni do kliknięcia linku, dołączenia do tego samego kanału Telegram lub odwiedzenia strony phishingowej.

Jak uniknąć instalacji złośliwego oprogramowania?

Pobieraj aplikacje z oficjalnych sklepów, takich jak Google Play lub Apple App Store. Unikaj sklepów innych firm lub nieoficjalnych stron internetowych (zawsze sprawdzaj adresy URL przed pobraniem). Nie klikaj linków w niechcianych wiadomościach e-mail, SMS-ach lub wiadomościach i unikaj interakcji z wyskakującymi okienkami lub innymi treściami na podejrzanych stronach internetowych.

Aktualizuj system operacyjny i aplikacje oraz korzystaj z renomowanego oprogramowania antywirusowego lub chroniącego przed złośliwym oprogramowaniem. Regularnie skanuj urządzenie w poszukiwaniu zagrożeń.

Fałszywa strona internetowa podszywająca się pod oficjalną stronę YouTube i zawierająca złośliwe oprogramowanie (źródło: zimperium.com):

Fałszywy ekran aktualizacji Google Play używany przez złośliwe oprogramowanie (źródło: zimperium.com):

ClayRat prosi o pozwolenie na wysyłanie SMS-ów (źródło: zimperium.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o przyznanie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłączanie”. Naciśnij ikonę „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system powiadomi Cię o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Resetuj dane fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem ClayRat. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Nie, tak drastyczne działania często nie są konieczne. Złośliwe oprogramowanie, takie jak ClayRat, można zazwyczaj usunąć bez formatowania urządzenia, korzystając z zaufanego programu antywirusowego lub narzędzia do usuwania złośliwego oprogramowania, takiego jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może spowodować kradzież danych, straty finansowe, uszkodzenie urządzenia (np. szyfrowanie plików), dodatkowe infekcje i podobne problemy.

Jaki jest cel złośliwego oprogramowania ClayRat?

To złośliwe oprogramowanie może kraść dane (np. czytać SMS-y, zbierać informacje o urządzeniu), szpiegować użytkowników, robić zdjęcia za pomocą aparatu urządzenia i rozprzestrzeniać się dalej poprzez SMS-y, wykorzystując zainfekowane urządzenia.

W jaki sposób ClayRat przeniknął do mojego urządzenia?

ClayRat rozprzestrzenia się poprzez fałszywe strony internetowe i strony phishingowe, które przekierowują użytkowników do kanałów Telegramu, na których znajduje się złośliwa aplikacja. Strony te naśladują popularne aplikacje i zawierają fałszywe instrukcje, aby nakłonić użytkowników do zainstalowania złośliwego oprogramowania, czasami wykorzystując fałszywe ekrany aktualizacji, aby wyglądały na legalne.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner może wykrywać i usuwać większość znanych infekcji złośliwym oprogramowaniem. Jednak zaawansowane złośliwe oprogramowanie może ukrywać się głęboko w systemie, dlatego zdecydowanie zaleca się wykonanie pełnego skanowania systemu.