Jak usunąć Delivery RAT z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie Delivery RAT?

Delivery RAT to trojan służący do zdalnej administracji urządzeniami z systemem Android. Najnowsza wersja może wykraść różne informacje, wykonywać polecenia, wysyłać SMS-y, przeprowadzać ataki DDoS i nie tylko. Delivery RAT jest rozpowszechniany za pośrednictwem fałszywych aplikacji, które naśladują banki, serwisy udostępniające filmy i wideo, platformy handlowe i inne usługi.

Szczegółowe informacje dotyczące dostawy RAT

Po uruchomieniu Delivery RAT sprawdza uprawnienia do powiadomień i połączenie internetowe. Jeśli internet jest dostępny (lub jeśli program został już uruchomiony), Delivery RAT wyświetla ekran z prośbą o przyznanie uprawnień. Następnie uruchamia usługę WebSocket w tle, która łączy się z serwerem kontrolnym i czeka na działania użytkownika.

Po udzieleniu przez użytkownika uprawnień i potwierdzeniu fałszywa aplikacja wyświetla ekran główny, na którym należy wprowadzić numer śledzenia (lub inne informacje, w zależności od usługi, którą podszywa się). Następnie prosi o uprawnienia do odczytu i wysyłania wiadomości SMS, odczytu połączeń telefonicznych oraz uzyskania informacji o stanie telefonu. Po udzieleniu tych uprawnień Delivery RAT gromadzi informacje o karcie SIM i wysyła je na serwer.

Po wykonaniu tych czynności złośliwe oprogramowanie może wyświetlać fałszywe okna. Okna te imitują aplikacje bankowe, serwisy wideo, serwisy udostępniające filmy, usługi dostawcze, platformy handlowe i inne usługi. RAT może wyświetlać formularz, w którym użytkownik ma wpisać dane karty kredytowej. Gdy użytkownik wprowadzi te dane i kliknie przycisk „Potwierdź”, złośliwe oprogramowanie wyświetla animację pobierania i wysyła wprowadzone dane karty do serwera atakującego.

Delivery RAT może również wyświetlać niestandardowe formularze z wieloma polami. Ponadto może wyświetlać komunikat z prośbą o wybranie zdjęcia. Gdy użytkownik kliknie podany przycisk, aplikacja sprawdza uprawnienia do pamięci lub multimediów i w razie potrzeby prosi o ich przyznanie. Po wybraniu zdjęcia przez użytkownika jest ono przesyłane na serwer atakującego.

Ponadto złośliwa aplikacja wyświetla obraz QR wraz z dwoma polami (jedno z nich domyślnie oznaczone jako „Wprowadź numer utworu”) i czeka, aż użytkownik go wyświetli/zeskanuje. Jeśli użytkownik wykona interakcję, a następnie dotknie przycisku Potwierdź, aplikacja natychmiast odtworzy animację pobierania. W tle złośliwe oprogramowanie rejestruje tę interakcję, a następnie wykonuje kolejne polecenie atakującego z serwera kontrolnego.

Ponadto RAT może wyświetlać pojedyncze pole tekstowe, które użytkownik może wypełnić. Gdy użytkownik kliknie przycisk „Potwierdź”, aplikacja wyświetla animację pobierania, rejestruje wprowadzony tekst i wykonuje kolejne polecenie serwera. Zawiera również fałszywą funkcję czatu pomocy technicznej, w której wszelkie wprowadzone informacje są wysyłane do cyberprzestępców.

Podczas działania złośliwego oprogramowania osoby odpowiedzialne za zagrożenie mogą uzyskać informacje o jego statusie. Mogą sprawdzić, kiedy złośliwa aplikacja została uruchomiona, zminimalizowana lub zamknięta.

Inne możliwości

RAT zawiera narzędzie, które odczytuje przychodzące powiadomienia push. Wysyła ono dane powiadomień na serwer atakującego. Jeśli to możliwe, złośliwe oprogramowanie usuwa lub ukrywa powiadomienie, aby użytkownik nigdy go nie zobaczył. Dzięki temu atakujący mogą przechwycić poufne informacje. Inne narzędzie RAT może uzyskać dostęp do wiadomości SMS i zebrać ich treść.

Ponadto Delivery RAT zapewnia, że uruchamia się po każdym ponownym uruchomieniu urządzenia. Zaraz po uruchomieniu urządzenia uruchamia określoną usługę, która ponownie łączy się z serwerem atakującego i utrzymuje aktywną komunikację.

Ponadto złośliwe oprogramowanie może wysyłać wiadomości SMS do wszystkich kontaktów, wykonywać polecenia USSD, zmieniać ikonę aplikacji oraz ukrywać lub wyświetlać ikonę programu uruchamiającego. Może również otwierać ekran z prośbą o dostęp do kontaktów i gromadzić/wysyłać pełną listę kontaktów, wysyłać wiadomości SMS na określone numery oraz wykonywać żądania HTTP w celu przeprowadzenia ataków DDoS.

Wnioski

DeliveryRAT to trwały trojan dla systemu Android, który żąda różnych uprawnień i utrzymuje aktywne połączenie. Może potajemnie gromadzić i wykraść poufne dane (wiadomości, powiadomienia, kontakty, pliki i dane uwierzytelniające), komunikować się z użytkownikami za pośrednictwem fałszywych ekranów lub czatów, wysyłać wiadomości z urządzenia i nie tylko.

Ofiary tego złośliwego oprogramowania mogą napotkać różne problemy, od strat finansowych po kradzież tożsamości. Dlatego należy je jak najszybciej usunąć z zainfekowanych urządzeń. Inne przykłady złośliwego oprogramowania dla systemu Android to GhostGrab, Herodotus i ClayRat.

W jaki sposób Delivery RAT przeniknął do mojego urządzenia?

Złośliwe oprogramowanie może być dostarczane za pośrednictwem fałszywych wiadomości lub e-maili zawierających złośliwe linki lub pliki, a także złośliwych reklam (w tym fałszywych ostrzeżeń i innych wyskakujących okienek) na podejrzanych stronach internetowych. Cyberprzestępcy wykorzystują również fałszywe strony internetowe lub sklepy z aplikacjami innych firm, aby nakłonić użytkowników do zainstalowania złośliwych aplikacji na swoich urządzeniach.

W innych przypadkach osoby stanowiące zagrożenie mogą wykorzystać luki w oprogramowaniu do zainstalowania złośliwego oprogramowania.

Jak uniknąć instalacji złośliwego oprogramowania?

Pobieraj aplikacje wyłącznie z oficjalnych platform (takich jak Google Play) i stron internetowych. Nie klikaj linków ani nie otwieraj plików w nieistotnych, nieoczekiwanych wiadomościach tekstowych, e-mailach lub innych wiadomościach od nieznanych nadawców. Regularnie aktualizuj system i aplikacje, korzystaj z Google Play Protect i zaufanej aplikacji zabezpieczającej urządzenia mobilne.

Ponadto nie należy ufać reklamom ani innym treściom napotkanym na podejrzanych stronach internetowych.

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o udzielenie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCIŚNIJ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je od razu. Zalecamy też włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem Delivery RAT. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Możesz usunąć DeliveryRAT, formatując urządzenie, ale spowoduje to usunięcie wszystkich danych. Bezpieczniejszą alternatywą jest użycie zaufanej aplikacji zabezpieczającej, takiej jak Combo Cleaner, aby przeskanować i wyczyścić urządzenie bez utraty informacji.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może zapewnić atakującym zdalny dostęp, naruszyć bezpieczeństwo systemów i zainstalować dodatkowe szkodliwe narzędzia. Może również wykraść dane osobowe lub zaszyfrować pliki, co może prowadzić do utraty danych, kradzieży finansowej, kradzieży tożsamości i innych poważnych problemów.

Jaki jest cel Delivery RAT?

Celem DeliveryRAT jest uzyskanie pełnej kontroli nad zainfekowanym urządzeniem z systemem Android w celu kradzieży poufnych informacji (takich jak SMS-y, kontakty, dane kart bankowych, zdjęcia i identyfikatory urządzeń), przechwytywania komunikacji, oszukiwania użytkowników za pomocą fałszywych ekranów lub formularzy oraz wykonywania zdalnych czynności, takich jak wysyłanie wiadomości lub przeprowadzanie ataków sieciowych.

W jaki sposób Delivery RAT przeniknął do mojego urządzenia?

Złośliwe oprogramowanie może rozprzestrzeniać się poprzez złośliwe linki lub załączniki w wiadomościach lub e-mailach, fałszywe reklamy lub wyskakujące okienka na podejrzanych stronach internetowych oraz fałszywe strony internetowe lub sklepy z aplikacjami innych firm, które nakłaniają użytkowników do zainstalowania zainfekowanych aplikacji. Może być również dostarczane poprzez wykorzystanie luk w zabezpieczeniach oprogramowania.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner może wykrywać i usuwać większość złośliwego oprogramowania, ale bardziej zaawansowane zagrożenia mogą ukrywać się głęboko w systemie. Aby mieć pewność, że wszystkie elementy zostały usunięte, warto zrobić pełne skanowanie urządzenia.