Jak usunąć SeedSnatcher z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie SeedSnatcher?

SeedSnatcher to złośliwe oprogramowanie dla systemu Android, podszywające się pod aplikację kryptograficzną o nazwie Coin (aplikacja ta pełni funkcję programu ładującego). Złośliwe oprogramowanie jest często dostarczane za pośrednictwem kanałów Telegram. Najpierw wysyła prośby o podstawowe uprawnienia, a następnie uzyskuje dostęp do plików, kontaktów, rejestrów połączeń i innych prywatnych danych. Cyberprzestępcy wykorzystują je głównie do kradzieży danych portfeli kryptowalutowych i innych poufnych informacji.

SeedSnatcher w szczegółach

Po wejściu do systemu złośliwe oprogramowanie zaczyna zbierać informacje o urządzeniu, takie jak identyfikatory systemu, ustawienia językowe, rozmiar ekranu, model sprzętu, wersja Androida i publiczny adres IP. Sprawdzane jest również, które aplikacje mogą uruchamiać się automatycznie, jak często są używane i czy mają dostęp do wrażliwych danych, takich jak pamięć, kontakty, SMS-y, rejestry połączeń i statystyki użytkowania.

SeedSnatcher został zaprojektowany do działania na wersjach Androida od 6 do 13, ale jego funkcje kradzieży mogą również działać na nowszych wersjach. Żąda różnych uprawnień, aby uzyskać dostęp do urządzenia i wykorzystuje je do złośliwych celów. Jeśli zostanie to dozwolone, SeedSnatcher może odczytywać, modyfikować i usuwać pliki przechowywane na urządzeniu, w tym dokumenty i zdjęcia, umożliwiając atakującym kradzież poufnych danych.

Ponadto złośliwe oprogramowanie może uzyskać dostęp do kontaktów, rejestrów połączeń i wiadomości SMS, w tym kodów OTP i 2FA, które mogą zostać wykorzystane do przejęcia kontroli nad kontami bankowymi lub kryptowalutowymi. Może również odczytywać i modyfikować ustawienia systemowe, co pozwala mu naruszyć bezpieczeństwo lub pozostać niewykrytym na urządzeniu.

Ponadto SeedSnatcher może monitorować, które aplikacje otwiera ofiara, i wykorzystywać tę informację do wykrywania, kiedy aktywne są aplikacje bankowe lub kryptowalutowe. Dzięki temu złośliwe oprogramowanie może wykraść dane uwierzytelniające i nakładać fałszywe ekrany na legalne aplikacje. Obejmuje to wyświetlanie fałszywych nakładek imitujących ekrany portfeli kryptowalutowych i przechwytywanie fraz odzyskiwania portfela.

Wiadomo, że złośliwe oprogramowanie jest w stanie wyświetlać fałszywe strony Binance Chain Wallet, Coinbase wallet, imToken, MetaMask, OKX Wallet, TokenPocket, TronGlobal, TronLink i Trust Wallet w celu kradzieży informacji. SeedSnatcher sprawdza każde słowo frazy seed wpisanej przez ofiarę, aby upewnić się, że jest to prawidłowa fraza odzyskiwania.

Zapobiega to błędom i gwarantuje, że cyberprzestępcy otrzymają działającą frazę seed, którą mogą wykorzystać do przejęcia portfela kryptowalutowego. Ponadto SeedSnatcher może uzyskać dostęp do przechowywanych informacji o koncie, w tym do kont e-mail lub kont w mediach społecznościowych, oraz współdziałać z danymi powiązanymi z tymi kontami.

Ponadto złośliwe oprogramowanie może skłonić urządzenie do wyświetlenia monitu użytkownika o odinstalowanie określonej aplikacji wybranej przez cyberprzestępców, umożliwiając im usunięcie aplikacji zabezpieczających lub innych aplikacji. Inne funkcje obejmują potajemne wysyłanie wiadomości tekstowych stworzonych przez cyberprzestępców oraz skanowanie wszystkich zdjęć w galerii urządzenia. Rozpoznaje zrzuty ekranu jako ważne, umożliwiając podmiotom stanowiącym zagrożenie ich szybkie wykradzenie.

Wnioski

SeedSnatcher to wysoce inwazyjne złośliwe oprogramowanie dla systemu Android, które gromadzi szczegółowe dane urządzenia, nadużywa uprawnień i kradnie poufne informacje, zwłaszcza frazy odzyskiwania portfela kryptowalutowego. Może powodować takie problemy, jak przejęcie konta, kradzież kryptowaluty i tożsamości oraz podobne problemy.

Inne przykłady złośliwego oprogramowania atakującego urządzenia z systemem Android to Albiriox, Sturnus i Landfall.

W jaki sposób SeedSnatcher przeniknął do mojego urządzenia?

SeedSnatcher jest promowany za pośrednictwem kanałów Telegram i innych platform społecznościowych, gdzie ofiary są zachęcane do pobrania pliku APK (fałszywej aplikacji o nazwie Coin). Każdy link do pobrania zawiera unikalny identyfikator, który pozwala atakującym śledzić, która kampania lub promotor doprowadził do instalacji.

Inne możliwe wektory infekcji to fałszywe społeczności związane z kryptowalutami, posty w mediach społecznościowych, bezpośrednie wiadomości zawierające linki APK oraz fałszywe strony internetowe lub (nieoficjalne) sklepy z aplikacjami innych producentów.

Jak uniknąć instalacji złośliwego oprogramowania?

Zawsze korzystaj z oficjalnych stron internetowych lub sklepu Google Play Store podczas pobierania aplikacji. Przed zainstalowaniem aplikacji przeczytaj recenzje. Upewnij się, że Twoje urządzenie i aplikacje są zawsze aktualne, i korzystaj z niezawodnej aplikacji zabezpieczającej, aby skanować je w poszukiwaniu zagrożeń. Unikaj otwierania załączników lub klikania linków w wiadomościach e-mail lub wiadomościach, których nie oczekiwałeś lub które są nieistotne.

Nie ufaj reklamom, linkom i wyskakującym okienkom na podejrzanych stronach internetowych.

Fałszywe okno portfela OKX wyświetlane przez złośliwe oprogramowanie (źródło: cyfirma.com):

Fałszywy formularz importu portfela przedstawiony przez SeedSnatcher (źródło: cyfirma):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o udzielenie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCIŚNIJ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je od razu. Zalecamy też włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane złośliwym oprogramowaniem SeedSnatcher. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Całkowite wyczyszczenie urządzenia zazwyczaj nie jest konieczne. Złośliwe oprogramowanie, takie jak SeedSnatcher, często można usunąć za pomocą sprawdzonych programów antywirusowych lub anty-malware, takich jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może wykonywać wiele różnych szkodliwych czynności w zależności od swojego typu. Może ono wykraść poufne informacje, dostarczyć dodatkowe złośliwe oprogramowanie, zaszyfrować lub usunąć pliki, spowolnić lub zakłócić działanie systemu oraz wykonywać inne czynności. Ponadto złośliwe oprogramowanie może umożliwić zdalne sterowanie urządzeniem.

Jaki jest cel SeedSnatcher?

Celem programu SeedSnatcher jest kradzież fraz odzyskiwania portfela kryptowalutowego (i innych danych związanych z logowaniem) oraz innych poufnych informacji (np. SMS-ów, rejestrów połączeń, adresów IP i innych) z urządzeń z systemem Android. Cyberprzestępcy wykorzystują to złośliwe oprogramowanie głównie do kradzieży kryptowalut.

W jaki sposób SeedSnatcher przeniknął do mojego urządzenia?

SeedSnatcher prawdopodobnie dostał się do Twojego urządzenia poprzez pobranie fałszywej aplikacji, często udostępnianej na Telegramie, w mediach społecznościowych lub innych niezaufanych źródłach. Rozprzestrzenia się jako plik APK podszywający się pod aplikację związaną z kryptowalutami, przekonując użytkowników do ręcznej instalacji.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner może wykrywać i usuwać prawie wszystkie znane złośliwe oprogramowania. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego ważne jest, aby przeprowadzić pełne skanowanie systemu.