Jak usunąć trojana bankowego Massiv

Czym jest złośliwe oprogramowanie Massiv?

Massiv to trojan bankowy atakujący urządzenia z systemem Android. Umożliwia on cyberprzestępcom przejęcie kontroli nad zainfekowanymi telefonami i przeprowadzanie nieuprawnionych transakcji z kont bankowych ofiar. Cyberprzestępcy podszywają się pod aplikacje IPTV, aby oszukać użytkowników poszukujących usług telewizji internetowej. W przypadku wykrycia na urządzeniu Massiv należy jak najszybciej usunąć.

Ogólny przegląd Massiv

Trojan bankowy Massiv może wykraść poufne dane poprzez wyświetlanie fałszywych ekranów, rejestrowanie wpisywanych przez użytkownika znaków (technika ta nazywa się keyloggingiem) oraz odczytywanie wiadomości (wiadomości SMS typu push). Ponadto umożliwia on atakującym pełną zdalną kontrolę nad zainfekowanym urządzeniem.

Massiv wykorzystuje ataki typu overlay, aby nakłonić użytkowników do ujawnienia danych osobowych. Gdy ofiara otwiera atakowaną aplikację, złośliwe oprogramowanie wyświetla fałszywy ekran, który wygląda jak prawdziwy. Ten fałszywy ekran prosi użytkownika o podanie danych logowania, numerów kart kredytowych lub innych poufnych informacji, które następnie są kradzione przez atakujących.

W atakach wymierzonych w użytkowników w Portugalii zaobserwowano, że złośliwe oprogramowanie Massiv próbowało wykraść dane z aplikacji rządowej. W tym przypadku złośliwe oprogramowanie prosiło użytkowników o podanie numerów telefonów i kodów PIN, aby ominąć weryfikację tożsamości. Wykorzystywało ono również Chave Móvel Digital, krajowy system identyfikacji cyfrowej, do uzyskiwania dostępu do usług internetowych i bankowości, umożliwiając cyberprzestępcom przeprowadzanie fałszywych transakcji.

Stwierdzono również, że cyberprzestępcy wykorzystywali zainfekowane urządzenia do otwierania nowych rachunków bankowych w imieniu ofiar bez ich wiedzy. Byli w stanie przejąć kontrolę nad tymi rachunkami i wykorzystywać je do prania brudnych pieniędzy, zaciągania kredytów lub wypłacania gotówki.

Pilot zdalnego sterowania

Oprócz kradzieży danych uwierzytelniających za pomocą nakładek i rejestrowania naciśnięć klawiszy, Massiv zapewnia atakującym pełny zdalny dostęp do zainfekowanego urządzenia. Wykorzystując usługę AccessibilityService systemu Android oraz jej funkcję FuncVNC, złośliwe oprogramowanie umożliwia im podgląd i sterowanie urządzeniem w czasie rzeczywistym. Komunikacja odbywa się za pośrednictwem kanału WebSocket, który obsługuje transmisję ekranu na żywo oraz tryb drzewa interfejsu użytkownika (UI-tree) umożliwiający interakcję z interfejsem.

Niektóre aplikacje blokują nagrywanie ekranu, dlatego Massiv korzysta z trybu drzewa interfejsu użytkownika. Skanuje on elementy aplikacji i tworzy model przedstawiający widoczny tekst, przyciski, pola wprowadzania danych oraz elementy interaktywne. Dzięki temu osoby atakujące mogą zapoznać się z układem aplikacji i zautomatyzować działania na urządzeniu bez konieczności korzystania ze zrzutów ekranu.

Obsługiwane polecenia

Aplikacja Massiv obsługuje różne polecenia zdalne. Korzystając z tego złośliwego oprogramowania, atakujący mogą wykonywać takie czynności, jak naciskanie przycisków „Wstecz”, „Ekran główny” lub „Ostatnie działania”, wybudzanie urządzenia, otwieranie menu zasilania, klikanie lub przesuwanie palcem po ekranie, wpisywanie tekstu lub odblokowywanie telefonu za pomocą wzoru.

Cyberprzestępcy mogą również włączyć nakładkę w postaci czarnego ekranu, aby ukryć swoją aktywność, wyciszyć dźwięki i wibracje, włączyć lub wyłączyć przesyłanie obrazu z ekranu oraz przeglądać pliki na urządzeniu lub zarządzać nimi. Inne polecenia pozwalają złośliwemu oprogramowaniu wyświetlać fałszywe ekrany (nakładki) aplikacji, ekranu blokady wzorem lub ekranu wprowadzania kodu PIN w celu wykradzenia danych uwierzytelniających.

Ponadto aplikacja Massiv może wyświetlać powiadomienia push, zmieniać zawartość schowka, pobierać i instalować pliki APK, odinstalowywać aplikacje oraz pobierać pliki lub archiwa ZIP z urządzenia. Dodatkowo może gromadzić informacje o urządzeniu, zapisywać adresy serwerów kopii zapasowych oraz usuwać logi.

Massiv może również zmusić ofiarę do otwarcia ustawień systemowych w celu przyznania uprawnień, takich jak uprawnienia administratora urządzenia, dostęp do wiadomości SMS, dostęp do plików, uprawnienia dotyczące powiadomień, wyłączenia optymalizacji baterii, uprawnienia do instalowania aplikacji z nieznanych źródeł oraz ustawienia Play Protect.

Wnioski

Massiv to przykład zaawansowanego złośliwego oprogramowania bankowego dla systemu Android, które zapewnia atakującym szereg narzędzi służących do kradzieży danych i przejęcia kontroli nad zainfekowanymi urządzeniami. Zainfekowanie urządzenia przez Massiv może prowadzić do poważnych konsekwencji, takich jak kradzież tożsamości, straty finansowe, naruszenie prywatności, awarie urządzenia i inne.

Podkreśla to, jak ważne jest zachowanie ostrożności podczas instalowania aplikacji oraz ochrona urządzeń mobilnych przed zagrożeniami. Inne przykłady złośliwego oprogramowania dla systemu Android to Oblivion RAT, ZeroDayRAT oraz Arsink.

W jaki sposób program Massiv przedostał się do mojego urządzenia?

Aplikacja Massiv jest rozpowszechniana pod postacią aplikacji IPTV i udostępniana poza oficjalnym sklepem Google Play. Cyberprzestępcy tworzą fałszywe strony internetowe lub podrobione wersje aplikacji IPTV, aby nakłonić użytkowników do zainstalowania złośliwej aplikacji. Po zainstalowaniu interfejs aplikacji może wyglądać jak zwykła strona IPTV, ale w tle działa już złośliwe oprogramowanie.

Jak uniknąć zainstalowania złośliwego oprogramowania?

Instaluj oprogramowanie wyłącznie z wiarygodnych źródeł, takich jak oficjalne strony internetowe lub znane sklepy z aplikacjami, oraz dbaj o aktualność systemu operacyjnego i aplikacji. Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości e-mail lub innych komunikatów i nie otwieraj załączników ani linków bez uprzedniego sprawdzenia, czy są bezpieczne.

Regularnie przeprowadzaj skanowanie za pomocą sprawdzonego oprogramowania zabezpieczającego, aby wykrywać i usuwać potencjalne zagrożenia. Podczas przeglądania stron unikaj podejrzanych reklam, wyskakujących okienek i linków na niezweryfikowanych stronach oraz odrzucaj prośby o wyrażenie zgody na powiadomienia z podejrzanych witryn.

Fałszywa nakładka wyświetlona przez Massiv (źródło: threatfabric.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki Chrome?
• Jak wyłączyć powiadomienia w przeglądarce Chrome?
• Jak zresetować przeglądarkę Chrome?
• Jak usunąć historię przeglądania z przeglądarki Firefox?
• Jak wyłączyć powiadomienia w przeglądarce Firefox?
• Jak zresetować przeglądarkę Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do ustawień fabrycznych?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Kliknij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie kliknij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia w przeglądarce Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Ustawienia strony”, a następnie ją wybierz. Przewiń w dół, aż pojawi się opcja „Powiadomienia”, a następnie ją wybierz.

Znajdź strony internetowe, które wysyłają powiadomienia w przeglądarce, dotknij ich i kliknij „Wyczyść i zresetuj”. Spowoduje to cofnięcie uprawnień przyznanych tym stronom do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienie. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona trafi do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie naciśnij tę opcję.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i kliknij opcję „Pamięć”.

Kliknij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, klikając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Wyczyść dane prywatne”, a następnie ją wybierz. Wybierz typy danych, które chcesz usunąć, a następnie wybierz opcję „WYČYŚĆ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:

Wejdź na stronę, która wysyła powiadomienia w przeglądarce, dotknij ikony wyświetlanej po lewej stronie paska adresu (ikona ta niekoniecznie musi przedstawiać „Kłódkę”) i wybierz opcję „Edytuj ustawienia strony”.

W wyświetlonym okienku wyboru zaznacz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie dotknij tej pozycji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i kliknij opcję „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz potencjalnie niechcianą lub złośliwą aplikację, zaznacz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj skorzystać z „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo blokuje działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu to dobry sposób na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tych czynności, gdy urządzenie działa w trybie „normalnym”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz”. Dotknij ikony „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny” i będzie można ją uruchomić poprzez ponowne uruchomienie urządzenia.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Konserwacja urządzenia”, a następnie ją wybierz.

Naciśnij „Bateria” i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, co ma na celu zapewnienie jak najlepszego komfortu użytkowania i oszczędzanie energii. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Połączenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Zużycie danych”, a następnie wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć zużycie danych. Oznacza to, że nadmierne zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały wyłącznie wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zużycie danych zarówno w sieci komórkowej, jak i Wi-Fi.

Jeśli zauważysz, że jakaś aplikacja zużywa dużo danych, mimo że w ogóle z niej nie korzystasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Dbanie o aktualność oprogramowania to dobra praktyka, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń nieustannie wydają różne poprawki zabezpieczeń i aktualizacje systemu Android, aby naprawić błędy i usterki, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aktualizacja oprogramowania”, a następnie ją wybierz.

Kliknij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do ustawień fabrycznych:

Wykonanie „Resetowania do ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu oraz ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane przechowywane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo i audio, numery telefonów (zapisane w pamięci urządzenia, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu fabrycznego.

Można również przywrócić podstawowe ustawienia systemowe lub tylko ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Informacje o telefonie”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się opcja „Resetuj”, a następnie ją wybierz. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
”Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
”Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić urządzeniu jak największe bezpieczeństwo, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do sekcji „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Ekran blokady i zabezpieczenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Inne ustawienia zabezpieczeń”, dotknij jej, a następnie dotknij „Aplikacje administratora urządzenia”.

Znajdź aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie wybierz opcję „WYŁĄCZ”.

Najczęściej zadawane pytania (FAQ)

Moje urządzenie zostało zainfekowane złośliwym oprogramowaniem Massiv. Czy powinienem sformatować nośnik danych, aby się go pozbyć?

Ta czynność spowoduje usunięcie programu Massiv, ale spowoduje również skasowanie wszystkich danych, dlatego należy ją traktować wyłącznie jako ostateczność. Przed wykonaniem tej czynności zaleca się przeprowadzenie pełnego skanowania za pomocą sprawdzonego oprogramowania zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może spowolnić działanie urządzenia, powodować awarie systemu, szyfrować lub usuwać pliki, instalować dodatkowe szkodliwe aplikacje, zapewniać cyberprzestępcom zdalny dostęp, uzyskiwać dostęp do danych osobowych oraz wykonywać inne działania.

Jaki jest cel trojana bankowego Massiv?

Wykorzystuje fałszywe ekrany, rejestruje naciśnięcia klawiszy i odczytuje wiadomości SMS, nakłaniając użytkowników do ujawnienia danych logowania do serwisu bankowego oraz danych osobowych. Zapewnia atakującym pełną zdalną kontrolę nad zainfekowanymi urządzeniami, umożliwiając im manipulowanie aplikacjami, otwieranie kont, przeprowadzanie transakcji oraz zarządzanie plikami w czasie rzeczywistym.

Massiv może również zmuszać ofiary do udzielania określonych uprawnień, instalowania dodatkowych aplikacji oraz ukrywania swojej aktywności, aby niepostrzeżenie przeprowadzać oszukańcze działania.

W jaki sposób program Massiv przedostał się do mojego urządzenia?

Massiv infiltruje urządzenia, podszywając się pod aplikację IPTV, i jest rozpowszechniany poza oficjalnym sklepem Google Play. Atakujący tworzą fałszywe strony internetowe lub podrobione wersje aplikacji IPTV, aby nakłonić użytkowników do zainstalowania złośliwej aplikacji. Chociaż aplikacja może sprawiać wrażenie, jakby wyświetlała zwykłą stronę IPTV, złośliwe oprogramowanie działa potajemnie w tle.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner potrafi wykrywać i usuwać większość znanych złośliwych programów. Ponieważ zaawansowane zagrożenia mogą być głęboko zakorzenione w systemie, zaleca się przeprowadzenie pełnego skanowania, aby mieć pewność, że wszystkie szkodliwe elementy zostaną wykryte i usunięte.