Jak usunąć program PromptSpy z zainfekowanych urządzeń

Czym jest PromptSpy?

PromptSpy to złośliwe oprogramowanie dla systemu Android, które wykorzystuje generatywną sztuczną inteligencję w celu zapewnienia sobie trwałości. Wykorzystuje ono Google Gemini do analizowania zawartości ekranu zainfekowanego urządzenia i ustalania, w jaki sposób pozostać aktywnym na liście ostatnio używanych aplikacji. Pomaga to złośliwemu oprogramowaniu działać w tle. Jego głównym celem jest zainstalowanie klienta VNC, który umożliwia atakującym podgląd ekranu i zdalne sterowanie urządzeniem.

PromptSpy – szczegółowe informacje

PromptSpy zawiera moduł instalujący oraz ładunek, który nadużywa funkcji Google Gemini. Wykorzystuje Google Gemini do interakcji z ekranem telefonu. Zamiast stosować stałe skrypty, które mogą nie działać na różnych urządzeniach, wysyła do Gemini informacje o tym, co aktualnie wyświetla się na ekranie. Gemini analizuje elementy ekranu i zwraca instrukcje dotyczące tego, gdzie należy kliknąć lub jaką czynność wykonać. Pomaga to złośliwemu oprogramowaniu pozostać aktywnym poprzez utrzymywanie się na liście ostatnio używanych aplikacji, nawet jeśli użytkownik próbuje je zamknąć.

Ponadto aplikacja PromptSpy zawiera narzędzie VNC, które zapewnia atakującym pełną zdalną kontrolę nad zainfekowanym telefonem po włączeniu przez ofiarę usług ułatwień dostępu. Dzięki temu atakujący mogą podglądać ekran i wykonywać takie czynności, jak dotknięcia, przesunięcia palcem, gesty oraz wpisywanie tekstu.

PromptSpy wykorzystuje sztuczną inteligencję, aby utrzymać swoją aplikację na liście ostatnio używanych aplikacji. Dzięki temu złośliwe oprogramowanie pozostaje uruchomione w tle i nie da się go łatwo zamknąć. Funkcja ta jest prawdopodobnie uruchamiana przed rozpoczęciem sesji zdalnego sterowania przez cyberprzestępców. W ten sposób aplikacja pozostaje aktywna, a prawdopodobieństwo, że system lub ofiara ją zatrzymają, jest mniejsze.

Ponadto PromptSpy nadużywa funkcji usług ułatwień dostępu, aby uniemożliwić użytkownikom jego usunięcie. Gdy ofiara próbuje odinstalować aplikację lub wyłączyć usługi ułatwień dostępu, złośliwe oprogramowanie wyświetla niewidoczne okienka nakładające się na przyciski takie jak „Zatrzymaj”, „Wyczyść” lub „Odinstaluj”. Te ukryte warstwy blokują dotknięcia ofiary, uniemożliwiając naciśnięcie przycisków.

Po nawiązaniu połączenia ze zdalnym serwerem dowodzenia i kontroli złośliwe oprogramowanie może odbierać polecenia, które umożliwiają mu gromadzenie informacji, takich jak lista zainstalowanych i aktywnych aplikacji, wykonywanie zrzutów ekranu, nagrywanie ekranu oraz zbieranie danych z ekranu blokady. Może ono również rejestrować sekwencję odblokowującą ekran oraz wykrywać, czy wyświetlacz jest włączony.

Wnioski

PromptSpy stanowi przykład tego, jak cyberprzestępcy zaczęli wykorzystywać narzędzia oparte na sztucznej inteligencji, takie jak Google Gemini, aby zwiększyć możliwości złośliwego oprogramowania i utrudnić jego powstrzymanie. Łącząc interakcję z ekranem wspomaganą przez sztuczną inteligencję z funkcjami zdalnego sterowania, cyberprzestępcy mogą utrzymywać złośliwe oprogramowanie w stanie aktywności i łatwiej zarządzać zainfekowanymi urządzeniami.

Inne przykłady złośliwego oprogramowania atakującego urządzenia z systemem Android to Oblivion RAT, ZeroDayRAT oraz Arsink.

W jaki sposób aplikacja PromptSpy dostała się na moje urządzenie?

Cyberprzestępcy rozpowszechniają PromptSpy za pośrednictwem złośliwych stron internetowych, które naśladują legalne serwisy bankowe. Strony te wykorzystują elementy graficzne i tekstowe charakterystyczne dla banków, aby sprawiać wrażenie wiarygodnych. Znajdują się na nich złośliwe aplikacje na Androida, które podszywają się pod oficjalne aplikacje bankowe. Gdy ofiara zainstaluje taką aplikację, działa ona jako narzędzie do instalowania złośliwego oprogramowania.

Ofiara jest proszona o zezwolenie na instalację z nieznanych źródeł, co system Android zazwyczaj blokuje ze względów bezpieczeństwa. Po udzieleniu zgody program typu dropper łączy się ze zdalnym serwerem i pobiera plik konfiguracyjny zawierający link do pobrania ładunku PromptSpy.

Ładunek jest pobierany jako kolejny plik APK i wyświetlany jako fałszywa aktualizacja. Po zainstalowaniu żąda uprawnień do usług ułatwień dostępu i instaluje swoje złośliwe komponenty, w tym moduł VNC do zdalnego sterowania.

Jak uniknąć zainstalowania złośliwego oprogramowania?

Upewnij się, że Twój system operacyjny i aplikacje są aktualne, a oprogramowanie pobieraj wyłącznie z oficjalnych stron internetowych lub sprawdzonych sklepów z aplikacjami. Unikaj klikania podejrzanych reklam, wyskakujących okienek lub linków na wątpliwych stronach i odrzucaj prośby o zezwolenie na powiadomienia z takich stron.

Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości e-mail lub innych komunikatów – nie otwieraj zawartych w nich linków ani załączników, chyba że masz pewność, że nie są one złośliwe. Korzystaj z renomowanego oprogramowania zabezpieczającego, aby regularnie przeprowadzać skanowanie, które pozwoli wykryć i usunąć potencjalne zagrożenia.

PromptSpy prosi ofiarę o włączenie usług ułatwień dostępu (źródło: welivesecurity.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki Chrome?
• Jak wyłączyć powiadomienia w przeglądarce Chrome?
• Jak zresetować przeglądarkę Chrome?
• Jak usunąć historię przeglądania z przeglądarki Firefox?
• Jak wyłączyć powiadomienia w przeglądarce Firefox?
• Jak zresetować przeglądarkę Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do ustawień fabrycznych?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Kliknij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie kliknij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia w przeglądarce Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Ustawienia strony”, a następnie ją wybierz. Przewiń w dół, aż pojawi się opcja „Powiadomienia”, a następnie ją wybierz.

Znajdź strony internetowe, które wysyłają powiadomienia w przeglądarce, dotknij ich i kliknij „Wyczyść i zresetuj”. Spowoduje to cofnięcie uprawnień przyznanych tym stronom do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienie. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona trafi do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie naciśnij tę opcję.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i kliknij opcję „Pamięć”.

Kliknij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, klikając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Wyczyść dane prywatne”, a następnie ją wybierz. Wybierz typy danych, które chcesz usunąć, a następnie wybierz opcję „WYČYŚĆ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:

Wejdź na stronę, która wysyła powiadomienia w przeglądarce, dotknij ikony wyświetlanej po lewej stronie paska adresu (ikona ta niekoniecznie musi przedstawiać „Kłódkę”) i wybierz opcję „Edytuj ustawienia strony”.

W wyświetlonym okienku wyboru zaznacz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie dotknij tej pozycji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i kliknij opcję „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz potencjalnie niechcianą lub złośliwą aplikację, zaznacz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj skorzystać z „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo blokuje działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu to dobry sposób na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tych czynności, gdy urządzenie działa w trybie „normalnym”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz”. Dotknij ikony „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny” i będzie można ją uruchomić poprzez ponowne uruchomienie urządzenia.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Konserwacja urządzenia”, a następnie ją wybierz.

Naciśnij „Bateria” i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, co ma na celu zapewnienie jak najlepszego komfortu użytkowania i oszczędzanie energii. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Połączenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Zużycie danych”, a następnie wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć zużycie danych. Oznacza to, że nadmierne zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały wyłącznie wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zużycie danych zarówno w sieci komórkowej, jak i Wi-Fi.

Jeśli zauważysz, że jakaś aplikacja zużywa dużo danych, mimo że w ogóle z niej nie korzystasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Dbanie o aktualność oprogramowania to dobra praktyka, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń nieustannie wydają różne poprawki zabezpieczeń i aktualizacje systemu Android, aby naprawić błędy i usterki, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aktualizacja oprogramowania”, a następnie ją wybierz.

Kliknij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do ustawień fabrycznych:

Wykonanie „Resetowania do ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu oraz ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane przechowywane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo i audio, numery telefonów (zapisane w pamięci urządzenia, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu fabrycznego.

Można również przywrócić podstawowe ustawienia systemowe lub tylko ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Informacje o telefonie”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się opcja „Resetuj”, a następnie ją wybierz. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
”Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
”Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić urządzeniu jak największe bezpieczeństwo, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do sekcji „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Ekran blokady i zabezpieczenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Inne ustawienia zabezpieczeń”, dotknij jej, a następnie dotknij „Aplikacje administratora urządzenia”.

Znajdź aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie wybierz opcję „WYŁĄCZ”.

Najczęściej zadawane pytania (FAQ)

Moje urządzenie zostało zainfekowane złośliwym oprogramowaniem PromptSpy. Czy powinienem sformatować nośnik danych, aby się go pozbyć?

Wykonanie tej czynności pozwoli pozbyć się programu PromptSpy, ale spowoduje również usunięcie wszystkich danych, dlatego należy ją traktować wyłącznie jako ostateczność. Zaleca się najpierw przeprowadzić pełne skanowanie za pomocą sprawdzonego oprogramowania zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może uzyskać dostęp do Twoich danych osobowych, umożliwić atakującym przejęcie zdalnej kontroli nad Twoim urządzeniem, uszkodzić (np. zaszyfrować) lub usunąć pliki, zainstalować kolejne złośliwe aplikacje, spowolnić działanie systemu, spowodować awarie oraz przeprowadzić inne szkodliwe działania.

Jaki jest cel aplikacji PromptSpy?

Celem aplikacji PromptSpy jest zapewnienie atakującym zdalnej kontroli nad zainfekowanym urządzeniem z systemem Android, przy jednoczesnym zachowaniu ukrycia i trwałości. Aplikacja gromadzi również poufne informacje z urządzenia i uniemożliwia użytkownikom jej łatwe usunięcie.

W jaki sposób aplikacja PromptSpy dostała się na moje urządzenie?

PromptSpy rozprzestrzenia się za pośrednictwem fałszywych stron internetowych banków, na których udostępniane są złośliwe aplikacje na Androida. Gdy ofiara zainstaluje aplikację i zezwoli na pobieranie plików z nieznanych źródeł, pobierany jest ładunek PromptSpy pod postacią fałszywej aktualizacji. Następnie złośliwe oprogramowanie żąda dostępu do usług ułatwień dostępu i instaluje komponenty, takie jak moduł VNC służący do zdalnego sterowania.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner potrafi wykrywać i usuwać większość znanych złośliwych programów. Ponieważ zaawansowane zagrożenia mogą być głęboko ukryte w systemie, zaleca się przeprowadzenie pełnego skanowania, aby mieć pewność, że wszystkie szkodliwe elementy zostaną wykryte i usunięte.