Jak usunąć GhostGrab z urządzeń z systemem Android

Czym jest GhostGrab?

GhostGrab to złośliwe oprogramowanie dla systemu Android o podwójnym przeznaczeniu, które kradnie dane finansowe, jednocześnie potajemnie wykorzystując zainfekowane urządzenia do wydobywania kryptowaluty. Gromadzi dane logowania do bankowości, dane kart płatniczych i kody jednorazowe (przez przechwycone wiadomości SMS), pobiera odciski palców urządzeń i uruchamia ukryty program do wydobywania kryptowaluty. W przypadku wykrycia na urządzeniu GhostGrab należy jak najszybciej usunąć.

GhostGrab w szczegółach

Atak rozpoczyna się na złośliwej stronie internetowej. Skrypt znajdujący się na tej stronie automatycznie przekierowuje przeglądarkę i powoduje pobranie złośliwego pliku APK. Pobrany plik APK jest dropperem, czyli pierwszym etapem służącym do wprowadzenia innego złośliwego oprogramowania na urządzenie ofiary. Dropper oszukuje użytkowników fałszywym ekranem „Aktualizacja”, aby uzyskać pozwolenie na bezpośrednią instalację aplikacji (zamiast poprzez Google Play).

Ładuje zdalną stronę internetową w WebView i symuluje urządzenie z systemem iOS, które może być wykorzystywane do phishingu lub wyświetlania złośliwych reklam. Złośliwe oprogramowanie rejestruje się również w Firebase, aby odbierać zdalne polecenia. Na koniec uruchamia koparkę Monero, która pozwala cyberprzestępcom wykorzystywać urządzenie do wydobywania kryptowaluty.

Moduł kradnący dane bankowe

Ponadto dropper GhostGrab wprowadza do systemu moduł kradnący dane bankowe. Moduł ten może odczytywać i przechwytywać powiadomienia (w tym kody jednorazowe), wyłączać lub zmieniać tryb cichy, wykonywać połączenia telefoniczne, uruchamiać ukryte usługi oraz odczytywać, kopiować i modyfikować pliki i multimedia na urządzeniu.

Ponadto moduł bankowy może wyświetlać fałszywe lub wprowadzające w błąd powiadomienia, uzyskiwać dostęp do zdjęć, filmów i plików audio, odczytywać identyfikatory urządzeń i dane telefonu oraz odczytywać zapisane wiadomości tekstowe. Może również przechwytywać przychodzące wiadomości SMS (takie jak jednorazowe hasła) i wysyłać wiadomości tekstowe. Złośliwe oprogramowanie ukrywa się, dzięki czemu nie pojawia się w menu telefonu i może działać w tle.

GhostGrab może wyświetlać fałszywe strony bankowe i prosić o podanie danych osobowych, takich jak imię i nazwisko, numer telefonu i numer konta. Jeśli użytkownik wybierze opcję karty debetowej, program prosi o podanie pełnego numeru karty, daty ważności, numeru CVV i kodu PIN do bankomatu. Jeśli użytkownik wybierze bankowość internetową, złośliwe oprogramowanie prosi o podanie identyfikatora użytkownika, hasła logowania i hasła transakcyjnego.

Każdy formularz zawiera poprawnie sformatowane dane wejściowe, dzięki czemu osoba atakująca otrzymuje dokładne informacje, które może wykorzystać do przejęcia kont lub kradzieży pieniędzy. Złośliwe oprogramowanie pakuje wszystkie te informacje do pliku danych i przesyła je do internetowej bazy danych (Firebase), umożliwiając osobie atakującej zdalny dostęp do tych danych.

Kradzież danych SIM

Ponadto złośliwe oprogramowanie może wykraść informacje o kartach SIM urządzenia i sieci komórkowej. Obejmują one numery telefonów, nazwę operatora, unikalny numer seryjny karty SIM, gniazdo, w którym znajduje się każda karta SIM, identyfikatory urządzenia powiązane z siecią komórkową oraz inne szczegóły związane z siecią.

GhostGrab może również przechwytywać wszystkie przychodzące wiadomości tekstowe. Kopiuje treść wiadomości, informacje o nadawcy i identyfikatory urządzenia, a następnie wysyła te informacje do atakującego. Może również przekazywać wiadomości bezpośrednio na urządzenie atakującego lub wysyłać je na określony numer.

Należy pamiętać, że GhostGrab może wyszukiwać w wiadomościach terminy związane z bankowością, takie jak „transakcja” i „wypłata”, umożliwiając atakującym monitorowanie wiadomości związanych z bankowością i śledzenie transakcji.

Ponadto złośliwe oprogramowanie może włączać lub wyłączać przekierowywanie połączeń na zainfekowanym urządzeniu. Wybiera specjalne kody, aby przekierować połączenia przychodzące na inny numer (numer atakującego), ukrywa to działanie i może przechwytywać ważne połączenia, takie jak te dotyczące jednorazowych haseł.

Wnioski

GhostGrab to złośliwe oprogramowanie dla systemu Android, które ukrywa się w urządzeniu, kradnie poufne informacje i działa w tle bez wykrycia. Przechwytuje dane osobowe, dane bankowe, wiadomości SMS oraz dane SIM/sieciowe, a nawet może przekierowywać połączenia lub przechwytywać jednorazowe hasła (OTP). Wykorzystuje również urządzenie do potajemnego wydobywania kryptowaluty dla atakujących.

Inne przykłady programów typu Android stealer to Klopatra, Datzbro oraz PhantomCard.

W jaki sposób GhostGrab przeniknął do mojego urządzenia?

GhostGrab jest dostarczany za pośrednictwem złośliwej strony internetowej, która wymusza pobranie przez przeglądarkę pliku APK typu dropper, a następnie nakłania użytkownika do jego zainstalowania. Ofiary są przekierowywane ze złośliwej strony za pomocą skryptu JavaScript, który automatycznie pobiera plik APK. Następnie dropper wyświetla fałszywy ekran „Aktualizacja” sklepu Play Store, aby nakłonić użytkowników do zainstalowania ukrytych ładunków poza Google Play.

Jak uniknąć instalacji złośliwego oprogramowania?

Zawsze instaluj aplikacje z oficjalnego sklepu Google Play lub oficjalnych stron internetowych i sprawdzaj opinie. Nie klikaj linków znalezionych w podejrzanych wiadomościach tekstowych, e-mailach lub postach w mediach społecznościowych. Regularnie aktualizuj system operacyjny i aplikacje. Korzystaj z Google Play Protect i renomowanej aplikacji zabezpieczającej urządzenia mobilne.

Unikaj również interakcji z reklamami, wyskakującymi okienkami i linkami napotkanymi na podejrzanych stronach internetowych.

Złośliwe oprogramowanie żąda różnych uprawnień (źródło: cyfirma.com):

GhostGrab wyświetla fałszywe formularze w celu pozyskania danych kart debetowych (źródło: cyfirma.com):

Złośliwe oprogramowanie wyświetla fałszywe formularze w celu pozyskania danych dotyczących bankowości internetowej (źródło: cyfirma.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienia. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłączanie”. Naciśnij ikonę „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem GhostGrab. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

GhostGrab można usunąć poprzez przywrócenie ustawień fabrycznych urządzenia, ale spowoduje to również usunięcie wszystkich zapisanych danych. Przed podjęciem tej decyzji spróbuj przeskanować urządzenie za pomocą zaufanej aplikacji antywirusowej, takiej jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może służyć do kradzieży danych osobowych, uszkadzania systemów, szyfrowania plików, zapewniania atakującym zdalnego dostępu, instalowania dodatkowych złośliwych narzędzi, a ostatecznie powodować straty finansowe, kradzież tożsamości, utratę danych i inne problemy.

Jaki jest cel GhostGrab?

GhostGrab został zaprojektowany w celu potajemnego kradzieży danych bankowych i osobistych z urządzeń z systemem Android, przechwytywania wiadomości i połączeń oraz uruchamiania koparki kryptowalut.

W jaki sposób GhostGrab przeniknął do mojego urządzenia?

Prawdopodobnie złośliwe oprogramowanie zostało dostarczone ze złośliwej strony internetowej, która zmusiła przeglądarkę do pobrania pliku APK typu dropper, a następnie nakłoniła użytkownika do jego zainstalowania. Dropper wyświetlił następnie fałszywy ekran „Aktualizacja” sklepu Play Store, aby zmusić użytkownika do zainstalowania ukrytych ładunków poza Google Play.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner może zidentyfikować i usunąć większość znanego złośliwego oprogramowania, ale bardziej zaawansowane zagrożenia mogą ukrywać się głęboko w systemie, co sprawia, że konieczne jest pełne skanowanie urządzenia.