Jak usunąć złośliwe oprogramowanie Landfall z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie Landfall?

Landfall to oprogramowanie szpiegowskie dla systemu Android, które atakuje urządzenia Samsung Galaxy (głównie na Bliskim Wschodzie). Jest w stanie nagrywać dźwięk, śledzić lokalizację oraz uzyskiwać dostęp do zdjęć, kontaktów i rejestrów połączeń. Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem złośliwych plików graficznych DNG, wykorzystując lukę w bibliotece przetwarzania obrazów firmy Samsung.

Szczegółowe informacje na temat oprogramowania szpiegującego Landfall

Landfall rozprzestrzenia się poprzez pliki graficzne, które mogą zainfekować urządzenie bez konieczności kliknięcia przez użytkownika. Oprogramowanie szpiegujące składa się z dwóch głównych komponentów: jeden działa jako backdoor/loader, a drugi modyfikuje ustawienia zabezpieczeń, aby umożliwić mu pozostanie w ukryciu i dalsze działanie. Po wykorzystaniu luki w zabezpieczeniach, ładunki są upuszczane i wykonywane w celu monitorowania urządzenia i wycieku danych.

Komponent ładujący Landfall może uruchamiać dodatkowe moduły w celu kradzieży informacji. Jest w stanie gromadzić takie dane, jak wersja systemu operacyjnego, identyfikator sprzętu (IMEI), numer SIM/IMSI, numer seryjny karty SIM, konta użytkowników, numer poczty głosowej, ustawienia sieciowe, status VPN i Bluetooth, zainstalowane aplikacje, lokalizacja oraz status debugowania USB.

Ponadto może nagrywać dźwięk za pomocą mikrofonu, nagrywać rozmowy, przechwytywać historię połączeń, kontakty, SMS-y (i dane wiadomości), zdjęcia wykonane aparatem zainfekowanego urządzenia, historię przeglądania (i inne bazy danych) oraz dowolne pliki.

Ponadto moduł ładujący może ładować biblioteki natywne, uruchamiać kod aplikacji Android bezpośrednio z pamięci lub z pamięci masowej, wstrzykiwać kod do innych aplikacji, aby złośliwe oprogramowanie działało w ich obrębie, przechwytywać lub modyfikować zachowanie programów, wykonywać polecenia systemowe, osłabiać zabezpieczenia i uzyskiwać wyższe uprawnienia.

Dodatkowo może monitorować folder multimediów WhatsApp i ładować dodatkowe dane, rejestrować się jako klient internetowy WhatsApp w celu interakcji z danymi aplikacji oraz odczytywać, zmieniać lub usuwać pliki w katalogach aplikacji i innych miejscach na urządzeniu. Wreszcie, złośliwe oprogramowanie może uniknąć analizy i wykonania w przypadku wykrycia, pozostać ukryte przed modyfikacjami, ukrywać swoje komponenty, utrudniać przechwytywanie komunikacji C2 i zacierać ślady.

Wiadomo, że docelowymi modelami Samsunga są Galaxy S22, S23, S24, Galaxy Z Fold4 i Galaxy Z Flip4. Oprogramowanie szpiegowskie potajemnie łączy się z serwerem dowodzenia, aby wysłać informacje o zainfekowanym urządzeniu. Wykorzystuje specjalny port sieciowy i szyfrowany ruch HTTPS, aby ukryć swoją komunikację. Wstępna wiadomość zawiera takie szczegóły, jak identyfikator urządzenia, informacje o użytkowniku i lokalizacja oprogramowania szpiegowskiego.

Wnioski

Landfall to potężne oprogramowanie szpiegowskie, które może zainfekować urządzenia Samsung za pomocą specjalnie spreparowanych plików graficznych, potencjalnie bez żadnej interakcji ze strony użytkownika. Po infiltracji wdraża komponenty, które umożliwiają nadzór, kradzież danych i manipulowanie zabezpieczeniami urządzenia, aby pozostać niewykrytym. Komunikuje się bezpiecznie ze zdalnym serwerem, umożliwiając atakującym kontrolowanie złośliwego oprogramowania i gromadzenie skradzionych informacji.

Inne przykłady złośliwego oprogramowania dla systemu Android to Fantasy Hub, BankBot oraz GhostGrab.

W jaki sposób Landfall przeniknął do mojego urządzenia?

Cyberprzestępcy ukrywają Landfall w specjalnie spreparowanych plikach graficznych DNG, które wykorzystują lukę typu zero-day w bibliotece obrazów Samsunga. Złośliwe obrazy zawierają spakowany ładunek, który exploit rozpakowuje i uruchamia na urządzeniu. Uważa się, że obrazy są wysyłane za pośrednictwem WhatsApp, a łańcuch exploitów może działać w trybie zero-click, nie wymagając żadnego działania ze strony użytkownika.

Warto zauważyć, że Landfall został wykryty podczas badania exploita typu zero-day dla systemu iOS, który również wykorzystywał złośliwe obrazy DNG.

Jak uniknąć instalacji złośliwego oprogramowania?

Korzystaj z oficjalnych sklepów, takich jak Google Play lub oficjalnych stron internetowych, podczas pobierania aplikacji. Aktualizuj system operacyjny i aplikacje oraz regularnie korzystaj z niezawodnych narzędzi zabezpieczających, aby skanować urządzenie w poszukiwaniu potencjalnych zagrożeń. Unikaj również otwierania plików lub klikania linków w nieznanych lub nieoczekiwanych wiadomościach e-mail, wiadomościach lub SMS-ach.

Ponadto nie należy ufać reklamom, linkom i innym treściom zamieszczonym na niewiarygodnych stronach internetowych.

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o udzielenie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCIŚNIJ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je od razu. Zalecamy też włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem Landfall. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Możesz usunąć Landfall, formatując urządzenie, ale spowoduje to usunięcie wszystkich danych. Bezpieczniejszą alternatywą jest skanowanie i czyszczenie urządzenia za pomocą zaufanej aplikacji antywirusowej, takiej jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może uzyskać dostęp do danych osobowych, takich jak hasła lub dane bankowe, umożliwić atakującym zdalne przejęcie kontroli nad urządzeniem, zakłócić działanie systemu, zainstalować kolejne złośliwe oprogramowanie lub zaszyfrować pliki. Może to skutkować stratami finansowymi, kradzieżą tożsamości, utratą danych i innymi poważnymi problemami.

Jaki jest cel Landfall?

Landfall to oprogramowanie szpiegowskie przeznaczone do inwigilacji, kradzieży danych i uzyskiwania stałego dostępu, umożliwiające atakującym monitorowanie połączeń, wiadomości, lokalizacji, plików i innych danych osobowych bez wiedzy ofiary.

W jaki sposób Landfall przeniknął do mojego urządzenia?

Landfall najprawdopodobniej zainfekował urządzenie poprzez obraz DNG, który wykorzystał lukę typu zero-day w bibliotece obrazów Samsunga. Złośliwy obraz zawierał skompresowany ładunek, który exploit rozpakował i wykonał, umieszczając program ładujący na urządzeniu. Obrazy te zostały prawdopodobnie dostarczone za pośrednictwem WhatsApp.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner może wykrywać i eliminować większość złośliwego oprogramowania, chociaż niektóre zaawansowane zagrożenia mogą być głęboko ukryte. Wykonanie pełnego skanowania urządzenia pomaga zapewnić całkowite usunięcie złośliwego oprogramowania i brak pozostałości w systemie.