Jak usunąć Sturnus z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie Sturnus?

Sturnus to złośliwe oprogramowanie dla systemu Android (trojan bankowy), które może przejąć kontrolę nad urządzeniem. Jest w stanie odczytywać wiadomości czatu, wykraść dane bankowe poprzez wyświetlanie fałszywych stron logowania i nie tylko. Atakujący mogą zdalnie wykonywać złośliwe działania w tle, ukrywając ekran przed ofiarą.

Sturnus w szczegółach

Sturnus jest nadal testowany, ale już teraz jest nastawiony na ataki na banki w Europie. Chociaż znajduje się jeszcze we wczesnej fazie rozwoju, wiadomo, że jest to złośliwe oprogramowanie bardziej zaawansowane niż wiele innych zagrożeń tego typu. Jego główne możliwości obejmują ataki typu overlay, keylogging, przechwytywanie wiadomości SMS, nagrywanie ekranu oraz zdalny dostęp i kontrolę.

Złośliwe oprogramowanie komunikuje się z serwerem kontrolnym za pomocą zwykłych i zaszyfrowanych wiadomości. Najpierw rejestruje urządzenie i otrzymuje od serwera unikalny identyfikator oraz specjalny klucz. Następnie tworzy własny tajny klucz, blokuje go za pomocą klucza serwera i odsyła z powrotem, zachowując jednocześnie kopię na urządzeniu. Dzięki temu Sturnus może wysyłać i odbierać tajne wiadomości z serwerem.

Sturnus kradnie dane na dwa główne sposoby: wyświetlając fałszywe ekrany logowania (nakładki) oraz wykorzystując keylogger do przechwytywania wpisów ofiary. Może generować strony phishingowe, które wyglądają jak legalne aplikacje bankowe. Po aktywacji otwiera się okno WebView, które zbiera wszystkie dane wprowadzane przez ofiarę.

Po kradzieży danych fałszywy ekran jest wyłączany, aby uniknąć podejrzeń. Sturnus może również wyświetlać pełnoekranową czarną nakładkę, która ukrywa wszystko, co się dzieje, umożliwiając cyberprzestępcom wykonywanie działań w tle bez wiedzy ofiary.

Funkcja keyloggera tego złośliwego oprogramowania wykorzystuje usługę ułatwień dostępu systemu Android. Może wykrywać takie czynności, jak pisanie, stukanie i przełączanie się między polami, dzięki czemu może przechwytywać wprowadzany tekst i wiedzieć, z czym ofiara wchodzi w interakcję. Ponadto złośliwe oprogramowanie może przechwytywać zawartość ekranu. Funkcje te pozwalają również złośliwemu oprogramowaniu na kradzież kodów PIN i haseł.

Ponadto Sturnus wykrywa, kiedy ofiara otwiera aplikacje takie jak WhatsApp, Signal lub Telegram. Po wykryciu jednej z tych aplikacji zaczyna przechwytywać wszystko, co wyświetla się na ekranie. Może nawet uzyskać dostęp do wiadomości po ich odszyfrowaniu przez aplikację. Oznacza to, że atakujący mogą przeglądać kontakty, pełną historię czatów i wszystkie wiadomości w czasie rzeczywistym.

Ponadto cyberprzestępcy mogą wykorzystać Sturnus do zdalnego sterowania urządzeniem ofiary. Złośliwe oprogramowanie wykorzystuje określone techniki, które pozwalają cyberprzestępcom na podgląd urządzenia w czasie rzeczywistym i wykonywanie czynności, takich jak stukanie, pisanie, przewijanie lub zatwierdzanie uprawnień.

Oprócz wyżej wymienionych funkcji, Sturnus może uzyskać uprawnienia administratora i uniemożliwić ofierze ich usunięcie (potrafi wykryć próby takiego działania). Potrafi również wykrywać zmiany hasła, aktywność na ekranie blokady, zmiany w sieci, wymianę karty SIM, zmiany w ustawieniach zabezpieczeń i wiele innych. Celem jest uniknięcie wykrycia i jak najdłuższe pozostawanie aktywnym.

Wnioski

Sturnus to bardzo zaawansowane złośliwe oprogramowanie dla systemu Android, które może wykraść poufne dane za pomocą fałszywych ekranów logowania, rejestrowania klawiszy i zrzutów ekranu, odczytywać zaszyfrowane aplikacje do przesyłania wiadomości oraz zapewniać atakującym pełną zdalną kontrolę nad urządzeniem. Użytkownicy zainfekowanych urządzeń mogą napotkać takie problemy, jak przejęcie konta, kradzież tożsamości, straty finansowe i inne negatywne konsekwencje.

W przypadku wykrycia na urządzeniu, Sturnus powinien zostać jak najszybciej usunięty. Dodatkowe przykłady złośliwego oprogramowania dla systemu Android to Landfall, Fantasy Hub oraz BankBot.

W jaki sposób Sturnus zainfiltrował moje urządzenie?

Sturnus jest zazwyczaj rozpowszechniany za pomocą metod socjotechnicznych. Atakujący wysyłają fałszywe wiadomości e-mail, które nakłaniają użytkowników do pobrania złośliwej aplikacji. Wykorzystują również fałszywe wiadomości SMS z linkami, które prowadzą ofiary do złośliwego oprogramowania. Ponadto polegają na pozornie legalnych aplikacjach, znanych jako droppery, które po cichu pobierają i instalują Sturnusa bez wiedzy użytkownika.

Jak uniknąć instalacji złośliwego oprogramowania?

Pobieraj aplikacje wyłącznie z zaufanych źródeł, takich jak oficjalne strony internetowe lub Google Play. Aktualizuj system operacyjny i aplikacje oraz regularnie uruchamiaj renomowane narzędzie zabezpieczające w celu sprawdzenia, czy nie ma zagrożeń. Unikaj otwierania plików lub klikania linków w wiadomościach e-mail, wiadomościach lub SMS-ach, których nie oczekiwałeś. Zachowaj również ostrożność w przypadku reklam, linków i wyskakujących okienek na niewiarygodnych lub podejrzanych stronach internetowych.

Fałszywe okno nakładkowe wykorzystywane do kradzieży poufnych informacji (źródło: threatfabric.com):

Fałszywe okno służące do ukrycia aktywności w tle (źródło: threatfabric.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o udzielenie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCIŚNIJ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je od razu. Zalecamy też włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem Sturnus. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Pełne formatowanie urządzenia zazwyczaj nie jest konieczne. Zagrożenia takie jak Sturnus często można usunąć za pomocą renomowanych programów antywirusowych lub narzędzi do usuwania złośliwego oprogramowania, takich jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

W zależności od rodzaju złośliwe oprogramowanie może wykraść poufne informacje, zainstalować inne złośliwe programy, zaszyfrować pliki, zakłócić działanie systemu i wykonywać inne szkodliwe czynności.

Jaki jest cel Sturnus?

Sturnus został zaprojektowany w celu kradzieży informacji finansowych i zapewnienia atakującym pełnej kontroli nad zainfekowanymi urządzeniami z systemem Android, głównie w celu przeprowadzania oszustw bankowych.

W jaki sposób Sturnus zainfiltrował moje urządzenie?

Sturnus prawdopodobnie dostał się do Twojego urządzenia poprzez fałszywą wiadomość e-mail, SMS-a lub droppera udającego legalną aplikację.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner może wykrywać i usuwać większość znanego złośliwego oprogramowania. Jednakże, ponieważ niektóre zaawansowane zagrożenia mogą ukrywać się głęboko w systemie, ważne jest, aby przeprowadzić pełne skanowanie systemu, aby zapewnić całkowite usunięcie.