Jak usunąć program Oblivion RAT z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie Oblivion RAT?

Oblivion RAT to trojan umożliwiający zdalny dostęp, który pozwala atakującym na zdalne przejęcie kontroli nad urządzeniami z systemem Android. Jest on sprzedawany w modelu „złośliwe oprogramowanie jako usługa” (MaaS), a ceny wahają się od 300 dolarów miesięcznie do 2200 dolarów za dożywotni dostęp. Usługa zapewnia narzędzia do tworzenia zainfekowanych aplikacji, fałszywe strony z aktualizacjami, które mają nakłonić użytkowników do ich zainstalowania, oraz panel sterowania służący do zarządzania zainfekowanymi urządzeniami.

Przegląd programu Oblivion RAT

Twórcy serwisu Oblivion udostępniają narzędzie APK Builder służące do tworzenia złośliwych aplikacji na Androida. Atakujący mogą wybrać nazwę aplikacji, ikonę oraz nazwę pakietu. W trybie ukrytym aplikacja natychmiast prosi o dostęp do funkcji ułatwień dostępu, automatycznie zatwierdza wszystkie uprawnienia, ukrywa swoją ikonę i nie wyświetla żadnego widocznego ekranu.

W drugim trybie, zwanym „webview”, złośliwa aplikacja otwiera wyglądającą na legalną stronę internetową jako przynętę, jednocześnie potajemnie uzyskując te same uprawnienia w tle. Ponadto aplikacja Oblivion może zostać zaprojektowana tak, by sprawiała wrażenie zaszyfrowanej, mimo że w rzeczywistości nie jest. W pliku aplikacji znajduje się ustawienie techniczne, które sugeruje programom analitycznym, że plik jest zaszyfrowany.

W rezultacie wiele narzędzi zabezpieczających przestaje działać i wyświetla komunikat o błędzie, informujący, że nie mogą odczytać zawartości pliku. Plik ten nie jest jednak zaszyfrowany – zazwyczaj jest po prostu skompresowany. Fałszywy atrybut szyfrowania zostaje dodany w celu zmylenia automatycznych narzędzi i utrudnienia analizy bezpieczeństwa.

Możliwości

Po zainfekowaniu urządzenia i nawiązaniu połączenia z serwerem kontrolnym Oblivion zapewnia atakującemu szerokie możliwości zdalnego sterowania zainfekowanym telefonem z systemem Android. Atakujący może wyświetlać i kontrolować ekran w czasie rzeczywistym. Złośliwe oprogramowanie rejestruje również naciśnięcia klawiszy i działania użytkownika, w tym informacje o tym, z jakich aplikacji korzysta i kiedy. Ponadto zapewnia pełną kontrolę nad wiadomościami SMS.

Ustawiając się potajemnie jako domyślna aplikacja do obsługi wiadomości SMS, złośliwe oprogramowanie może przechwytywać przychodzące wiadomości tekstowe, w tym hasła jednorazowe i kody do uwierzytelniania dwuskładnikowego, zanim użytkownik je zobaczy. Atakujący może również wysyłać wiadomości SMS z numeru ofiary.

Kolejna funkcja aplikacji Oblivion sprawdza zainstalowane aplikacje i dzieli je na kategorie, takie jak bankowość, kryptowaluty, platformy handlowe, pożyczki i usługi administracji publicznej. Dzięki temu osoba atakująca może zidentyfikować wartościowe konta finansowe i wykorzystać je do popełnienia oszustwa lub kradzieży.

Wnioski

Podsumowując, Oblivion to trojan typu „remote access” przeznaczony dla systemu Android, który umożliwia atakującym przejęcie kontroli nad urządzeniami ofiar. Potrafi on przechwytywać poufne wiadomości, takie jak hasła jednorazowe, oraz wykrywać cenne aplikacje finansowe, co czyni go poważnym zagrożeniem zarówno dla danych osobowych, jak i bezpieczeństwa finansowego.

Inne przykłady programów typu RAT atakujących urządzenia z systemem Android to ZeroDayRAT, Arsink oraz Cellik.

W jaki sposób program szpiegowski Oblivion RAT przedostał się do mojego urządzenia?

Cyberprzestępcy rozpowszechniają złośliwe oprogramowanie Oblivion, wykorzystując techniki socjotechniczne. Najpierw rozsyłają złośliwą aplikację typu dropper za pośrednictwem komunikatorów lub serwisów randkowych. Aplikacja ta zawiera główne złośliwe oprogramowanie w postaci skompresowanego pliku oraz fałszywe strony imitujące proces aktualizacji w sklepie Google Play.

Na pierwszej stronie widnieje fałszywy pasek pobierania oraz podrobiony skan bezpieczeństwa z komunikatami, które wyglądają na autentyczne. Druga strona naśladuje autentyczną stronę aplikacji w sklepie Google Play. Zawiera fałszywą nazwę dewelopera, ocenę użytkowników oraz przycisk „Aktualizuj”, aby sprawiać wrażenie wiarygodnej.

Gdy ofiara kliknie ten przycisk, uruchamia się proces instalacji ukrytego złośliwego oprogramowania drugiego etapu. Trzecia strona prowadzi ofiarę przez proces zezwalania na instalację z nieznanych źródeł, przedstawiając go jako standardowy krok zabezpieczający. Po zakończeniu tej procedury na urządzeniu zostaje zainstalowane i uruchomione pełne złośliwe oprogramowanie Oblivion RAT.

Jak uniknąć zainstalowania złośliwego oprogramowania?

Dbaj o aktualność systemu operacyjnego i aplikacji oraz pobieraj oprogramowanie wyłącznie z oficjalnych stron internetowych lub renomowanych sklepów z aplikacjami. Regularnie przeprowadzaj skanowanie za pomocą sprawdzonych narzędzi zabezpieczających, aby wykrywać i usuwać potencjalne zagrożenia. W przypadku otrzymania nieoczekiwanych wiadomości e-mail lub innych komunikatów, zwłaszcza tych zawierających linki lub załączniki, unikaj otwierania ich treści.

Ponadto podczas odwiedzania podejrzanych stron internetowych nie należy klikać w podejrzane reklamy, wyskakujące okienka ani linki, a także należy odrzucać prośby o zezwolenie na wysyłanie powiadomień od niezaufanych stron internetowych.

Panel administracyjny Oblivion RAT (źródło: iverify.io):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki Chrome?
• Jak wyłączyć powiadomienia w przeglądarce Chrome?
• Jak zresetować przeglądarkę Chrome?
• Jak usunąć historię przeglądania z przeglądarki Firefox?
• Jak wyłączyć powiadomienia w przeglądarce Firefox?
• Jak zresetować przeglądarkę Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do ustawień fabrycznych?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Kliknij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie kliknij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia w przeglądarce Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Ustawienia strony”, a następnie ją wybierz. Przewiń w dół, aż pojawi się opcja „Powiadomienia”, a następnie ją wybierz.

Znajdź strony internetowe, które wysyłają powiadomienia w przeglądarce, dotknij ich i kliknij „Wyczyść i zresetuj”. Spowoduje to cofnięcie uprawnień przyznanych tym stronom do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienie. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona trafi do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie naciśnij tę opcję.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i kliknij opcję „Pamięć”.

Kliknij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, klikając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz opcję „Historia” z rozwijanego menu.

Przewiń w dół, aż pojawi się opcja „Wyczyść dane prywatne”, a następnie ją wybierz. Wybierz typy danych, które chcesz usunąć, a następnie wybierz opcję „WYČYŚĆ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:

Wejdź na stronę, która wysyła powiadomienia w przeglądarce, dotknij ikony wyświetlanej po lewej stronie paska adresu (ikona ta niekoniecznie musi przedstawiać „Kłódkę”) i wybierz opcję „Edytuj ustawienia strony”.

W wyświetlonym okienku wyboru zaznacz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje”, a następnie dotknij tej pozycji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i kliknij opcję „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich zapisanych w niej danych. Oznacza to, że wszystkie zapisane loginy i hasła, historia przeglądania, niestandardowe ustawienia oraz inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aplikacje”, a następnie ją wybierz.

Przewiń w dół, aż znajdziesz potencjalnie niechcianą lub złośliwą aplikację, zaznacz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj skorzystać z „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo blokuje działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu to dobry sposób na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tych czynności, gdy urządzenie działa w trybie „normalnym”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz”. Dotknij ikony „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny” i będzie można ją uruchomić poprzez ponowne uruchomienie urządzenia.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Konserwacja urządzenia”, a następnie ją wybierz.

Naciśnij „Bateria” i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, co ma na celu zapewnienie jak najlepszego komfortu użytkowania i oszczędzanie energii. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Połączenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Zużycie danych”, a następnie wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć zużycie danych. Oznacza to, że nadmierne zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały wyłącznie wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zużycie danych zarówno w sieci komórkowej, jak i Wi-Fi.

Jeśli zauważysz, że jakaś aplikacja zużywa dużo danych, mimo że w ogóle z niej nie korzystasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Dbanie o aktualność oprogramowania to dobra praktyka, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń nieustannie wydają różne poprawki zabezpieczeń i aktualizacje systemu Android, aby naprawić błędy i usterki, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Aktualizacja oprogramowania”, a następnie ją wybierz.

Kliknij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie” – dzięki temu system będzie Cię powiadamiał o nowych aktualizacjach i/lub instalował je automatycznie.

[Wróć do Spisu treści]

Przywróć system do ustawień fabrycznych:

Wykonanie „Resetowania do ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu oraz ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane przechowywane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo i audio, numery telefonów (zapisane w pamięci urządzenia, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu fabrycznego.

Można również przywrócić podstawowe ustawienia systemowe lub tylko ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Informacje o telefonie”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się opcja „Resetuj”, a następnie ją wybierz. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
”Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
”Przywróć ustawienia fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić urządzeniu jak największe bezpieczeństwo, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do sekcji „Ustawienia”, przewiń w dół, aż zobaczysz pozycję „Ekran blokady i zabezpieczenia”, a następnie ją wybierz.

Przewiń w dół, aż pojawi się pozycja „Inne ustawienia zabezpieczeń”, dotknij jej, a następnie dotknij „Aplikacje administratora urządzenia”.

Znajdź aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie wybierz opcję „WYŁĄCZ”.

Najczęściej zadawane pytania (FAQ)

Moje urządzenie zostało zainfekowane złośliwym oprogramowaniem Oblivion RAT. Czy powinienem sformatować nośnik danych, aby się go pozbyć?

Sformatowanie urządzenia może wyeliminować złośliwe oprogramowanie Oblivion RAT, jednak należy to traktować wyłącznie jako ostateczność, ponieważ spowoduje to utratę wszystkich danych. Zaleca się najpierw przeprowadzić pełne skanowanie systemu za pomocą narzędzia zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może powodować wiele różnych problemów, w tym spowolnienie działania urządzenia, usunięcie lub uszkodzenie plików, kradzież danych osobowych, instalację dodatkowych złośliwych programów oraz umożliwienie atakującym zdalnego przejęcia kontroli nad urządzeniem.

Jaki jest cel programu Oblivion RAT?

Celem złośliwego oprogramowania Oblivion RAT jest umożliwienie atakującym zdalnego przejęcia kontroli nad urządzeniem z systemem Android należącym do ofiary. Zostało ono zaprojektowane w celu kradzieży poufnych informacji, takich jak klucze prywatne, hasła, wiadomości SMS oraz kody do uwierzytelniania dwuskładnikowego. Złośliwe oprogramowanie wykrywa również aplikacje finansowe i podobne.

W jaki sposób złośliwe oprogramowanie Oblivion RAT przedostało się do mojego urządzenia?

Oblivion RAT infekuje urządzenia za pośrednictwem fałszywej aplikacji typu dropper, rozsyłanej przez komunikatory lub serwisy randkowe. Aplikacja wykorzystuje fałszywe strony aktualizacji w Google Play, aby nakłonić użytkownika do zezwolenia na instalację aplikacji z nieznanych źródeł. Po zainstalowaniu aplikacji drugiego etapu uruchamia się pełna wersja złośliwego oprogramowania.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner jest w stanie wykrywać i usuwać większość znanych złośliwych programów. Ponieważ zaawansowane zagrożenia mogą czasami ukrywać się głęboko w systemie, zaleca się przeprowadzenie pełnego skanowania systemu, aby mieć pewność, że wszystkie złośliwe programy zostaną wykryte i usunięte.