Jak usunąć malware MoneyMonger z twojego urządzenia z Androidem
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Czym jest MoneyMonger?
MoneyMonger to nazwa złośliwego programu, który infiltruje systemy pod przykrywką różnych aplikacji oferujących usługi szybkich pożyczek. To malware wykorzystuje platformę Flutter, aby ukryć swoją złośliwość i uniknąć wykrycia. MoneyMonger działa jako oprogramowanie szpiegujące i malware kradnące dane.
Jest aktywnie wykorzystywane przez cyberprzestępców do bezpośredniego nękania i grożenia ofiarom. W chwili pisania tego tekstu złośliwa aplikacja była dostępna tylko na zewnętrznych stronach internetowych. Podczas gdy kampanie MoneyMonger działają na całym świecie, skoncentrowaną aktywność odnotowano w Indiach i Peru.
Przegląd MoneyMonger
Dobrze zaciemniony i trudny do wykrycia MoneyMonger jest instalowany na urządzeniach jako aplikacja świadcząca usługi pożyczkowe. Po instalacji żąda różnych zezwoleń, które są zwodniczo sformułowane jako niezbędne do rzekomej usługi finansowej. Aby to rozwinąć, fałszywa aplikacja prosi o pozwolenie na wysyłanie SMS-ów, twierdząc, że pozwoli to „dostawcom usług" upewnić się, że użytkownik nie jest zaangażowany w żadną oszukańczą działalność finansową lub jest nieodpowiedni z innych powodów.
Oprócz uprawnień SMS, MoneyMonger uzyskuje uprawnienia związane z urządzeniem, treścią, geolokalizacją, połączeniami, kontaktami, kamerą i mikrofonem. Dzięki uprawnieniu do wysyłania wiadomości tekstowych to złośliwe oprogramowanie może odczytywać skrzynki odbiorcze SMS ofiar. Oczywiście obejmuje to wszelkie OTP, MFA/2FA lub inne wrażliwe informacje otrzymane w wiadomości tekstowej.
To malware może również uzyskiwać dostęp do list kontaktów i dzienników połączeń ofiar. Gdyby programiści MoneyMonger dodali możliwość wysyłania SMS-ów i/lub wykonywania połączeń telefonicznych – program ten mógłby zostać wykorzystany jako malware Toll Fraud.
Ponadto program może uzyskiwać dostęp do treści przechowywanych na urządzeniach (np. zdjęcia, dokumenty itp.) oraz nagrywać dźwięk i obraz za pomocą mikrofonu i kamery.
Na podstawie dostępnych raportów kampanie MoneyMonger wykorzystują różne taktyki socjotechniczne, a cyberprzestępcy wchodzą w bezpośrednią interakcję z ofiarami. Podejście może być podyktowane zawartością uzyskaną z zainfekowanych urządzeń.
Zdarzały się przypadki, w których jawne zdjęcia użytkowników były przetrzymywane dla okupu pod groźbą ujawnienia ich kontaktów (wyłudzenie seksualne). Zdarzały się również przypadki, w których ofiary otrzymywały pożyczki, a następnie były nieustannie nękane telefonami i innymi sposobami zwrotu pożyczonych pieniędzy wraz z wygórowanymi odsetkami. Niektóre ofiary były celem fałszywych twierdzeń o nieotrzymanej płatności, a inne różnych gróźb.
Podsumowując, obecność oprogramowania takiego jak MoneyMonger na urządzeniach może spowodować poważne problemy z prywatnością, znaczne straty finansowe i kradzież tożsamości.
Jeśli uważasz, że twoje urządzenie z Androidem jest zainfekowane MoneyMonger (lub innym malware) – uruchom pełne skanowanie systemu za pomocą programu antywirusowego i jak najszybciej usuń zagrożenia.
| Nazwa | Wirus MoneyMonger |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja, oprogramowanie szpiegujące. |
| Nazwy wykrycia | DrWeb (Program.CreditSpy.8.origin), ESET-NOD32 (wariant Android/Spy.Agent.CCE), F-Secure (Malware.ANDROID/Spy.Agent.GAAF.Gen), Kaspersky (Not-a-virus:HEUR:RiskTool.AndroidOS.SpyLo), Lionic (Riskware.AndroidOS.SpyLoan.z!c), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są zmieniane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy internetowe, inżynieria społeczna, oszukańcze aplikacje, oszukańcze strony internetowe. |
| Zniszczenie | Skradzione dane osobowe (prywatne wiadomości, loginy/hasła itp.), zmniejszona wydajność urządzenia, szybkie rozładowywanie baterii, zmniejszona prędkość internetu, ogromne straty danych, straty finansowe, skradziona tożsamość (złośliwe aplikacje mogą wykorzystywać aplikacje komunikacyjne). |
| Usuwanie malware (Android) | Aby usunąć infekcje złośliwym oprogramowaniem, nasi badacze bezpieczeństwa zalecają przeskanowanie twojego urządzenia z Androidem legalnym oprogramowaniem chroniącym przed złośliwym oprogramowaniem. Polecamy Avast, Bitdefender, ESET lub Malwarebytes. |
Przykłady malware obierającego za cel Androida
Przeanalizowaliśmy dziesiątki szkodliwych programów na Androida, a Fałszywy RAT "System Update", IcSpy, i Schoolyard Bully to tylko niektóre z najnowszych.
Złośliwe oprogramowanie może mieć szeroki zakres funkcji, które mogą występować w różnych kombinacjach. Zagrożenia stwarzane przez malware zależą od jego możliwości i celów cyberprzestępców.
Jednak niezależnie od tego, jak działa złośliwe oprogramowanie – jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać usunięte natychmiast po ich wykryciu.
Jak MoneyMonger dostało się na moje urządzenie?
Jak wspomniano wcześniej, zaobserwowano, że MoneyMonger jest dystrybuowane (pod pozorem wniosków pożyczkowych) w różnych zewnętrznych sklepach z aplikacjami. Jednak prawdopodobnie stosowane są również inne metody dystrybucji.
Ogólnie rzecz biorąc, malware jest dystrybuowane przy użyciu technik phishingu i socjotechniki. To oprogramowanie jest zwykle zamaskowane lub dołączone do zwykłych programów/mediów.
Do najczęściej stosowanych metod dystrybucji należą: podejrzane źródła pobierania (np. witryny z freeware i bezpłatnym hostingiem plików, sieci udostępniania P2P itp.), pobrania drive-by (podstępne/zwodnicze), złośliwe załączniki i linki w poczcie spamowej (np. e-mailach, SMS-ach, wiadomościach prywatnych/błyskawicznych itp.), oszustwa internetowe, złośliwe reklamy, pirackie oprogramowanie i nielegalne narzędzia aktywacyjne („pirackie") oraz fałszywe aktualizacje.
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy sprawdzanie oprogramowania poprzez czytanie warunków i recenzji użytkowników/ekspertów, sprawdzanie niezbędnych uprawnień, weryfikowanie legalności programisty itp. Ponadto wszystkie pobieranie produktów musi odbywać się z oficjalnych i godnych zaufania kanałów.
Równie ważne jest aktywowanie i aktualizowanie oprogramowania za pomocą funkcji/narzędzi zapewnianych przez legalnych programistów, ponieważ nielegalne narzędzia aktywacyjne („pirackie") i aktualizatory stron trzecich mogą zawierać malware.
Innym zaleceniem jest ostrożne podejście do wiadomości przychodzących. Nie należy otwierać załączników i linków znajdujących się w podejrzanych/nieistotnych e-mailach i innych wiadomościach, ponieważ mogą być złośliwe i powodować infekcje. Zalecamy również ostrożność podczas przeglądania sieci, ponieważ oszukańcze i niebezpieczne treści online zwykle wydają się nieszkodliwe.
Dla bezpieczeństwa urządzenia/użytkownika najważniejsze jest zainstalowanie i regularne aktualizowanie renomowanego programu antywirusowego. Programy bezpieczeństwa muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń.
Zrzut ekranu malware MoneyMonger wyjaśniającego uprawnienia i politykę prywatności (źródło obrazu - Zimperium):
Zrzut ekranu malware MoneyMonger promowanego w sklepie aplikacji strony trzeciej (źródło obrazu - Zimperium):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przweglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia przeglądarki z przeglądarki Chrome?
- Jak przywrócić przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak przywrócić przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w "Trybie awaryjnym"?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić zużycie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak przywrócić system do jego stanu domyślnego?
- Jak wyłączyć aplikacje, które mają uprawnienia administratora?
Usuń historię przeglądania z przeglądarki Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Stuknij „Wyczyść dane przeglądania". Wybierz zakładkę „ZAAWANSOWANE". Wybierz zakres czasu i typy danych, które chcesz usunąć i stuknij „Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Ustawienia".
Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny" i kliknij ją. Przewiń w dół, aż zobaczysz opcję „Powiadomienia" i stuknij ją.
Znajdź witryny, które wyświetlają powiadomienia przeglądarki. Stuknij je i kliknij „Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom w celu wyświetlania powiadomień. Jednak, jeśli ponownie odwiedzisz tę samą witrynę może ona ponownie poprosić o zgodę. Możesz wybrać czy udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji „Zablokowane" i nie będzie już prosić o zgodę).
Przywróć przeglądarkę Chrome:
Przejdź do sekcji „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Chrome". Wybierz ją i stuknij opcję „Pamięć".
Stuknij „ZARZĄDZAJ PAMIĘCIĄ", a następnie „WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając „OK". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Przewiń w dół, aż zobaczysz „Wyczyść prywatne dane" i stuknij tę opcję. Wybierz typy danych, które chcesz usunąć i stuknij „WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która wyświetla powiadomienia przeglądarki. Stuknij ikonę wyświetlaną po lewej stronie paska adresu URL (ikona niekoniecznie będzie oznaczać „Kłódkę") i wybierz „Edytuj ustawienia witryny".
W otwartym okienku pop-up zaznacz opcję „Powiadomienia" i stuknij „WYCZYŚĆ".
Przywróć przeglądarkę Firefox:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Firefox". Wybierz ją i wybierz opcję „Pamięć".
Stuknij „WYCZYŚĆ DANE" i potwierdź akcję stukając „USUŃ". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację. Wybierz ją i stuknij „Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. wyświetla się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego".
Uruchom urządzenie z Androidem w „Trybie awaryjnym":
„Tryb awaryjny" w systemie operacyjnym Android tymczasowo wyłącza uruchamianie wszystkich aplikacji innych firm. Korzystanie z tego trybu to dobry sposób na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają to, gdy urządzenie działa „normalnie").
Naciśnij przycisk „Zasilanie" i przytrzymaj go, aż zobaczysz ekran „Wyłącz". Stuknij ikonę „Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny" i będzie ją kliknąć, aby ponownie uruchomić urządzenie.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Konserwacja urządzenia" i stuknij ją.
Stuknij „Baterię" i sprawdź użycie każdej aplikacji. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Połączenia" i stuknij ją.
Przewiń w dół, aż zobaczysz „Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie zminimalizować zużycie danych. Dlatego znaczne wykorzystanie danych może wskazywać na obecność złośliwej aplikacji. Pamiętaj, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest połączone z siecią bezprzewodową. Z tego powodu należy sprawdzić użycie danych mobilnych i Wi-Fi.
Jeśli znajdziesz aplikację, która wykorzystuje znaczące dane, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jej natychmiastowe odinstalowanie.
Zainstaluj najnowsze aktualizacje oprogramowania:
Utrzymywanie aktualności oprogramowania to dobra praktyka zapewniająca bezpieczeństwo urządzeń. Producenci urządzeń nieustannie publikują różne łatki bezpieczeństwa i aktualizacje Androida, aby naprawić błędy i luki, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki. Dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Aktualizacje oprogramowania" i stuknij ją.
Stuknij opcję „Pobierz aktualizacje ręcznie" i sprawdź, czy są dostępne aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie". Pozwoli to systemowi powiadomić cię o wydaniu aktualizacji i/lub zainstalować ją automatycznie.
Przywróć system do stanu domyślnego:
Wykonanie „Resetu do ustawień fabrycznych" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie ustawień systemowych do wartości domyślnych i ogólne wyczyszczenie urządzenia. Pamiętaj również, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS itd. Oznacza to, że urządzenie zostanie przywrócone do stanu początkowego/fabrycznego.
Możesz także przywrócić podstawowe ustawienia systemowe lub po prostu ustawienia sieciowe.
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz opcję „Informacje o telefonie" i stuknij ją.
Przewiń w dół, aż zobaczysz opcję „Przywróć" i stuknij ją. Teraz wybierz akcję, którą chcesz wykonać:
„Przywróć ustawienia" – przywróć wszystkie ustawienia systemowe do domyślnych;
„Przywróć ustawienia sieciowe" – przywróć wszystkie ustawienia związane z siecią do domyślnych;
„Przywróć dane fabryczne" – przywróć cały system i całkowicie usuń wszystkie zapisane dane.
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja otrzyma uprawnienia administratora, może poważnie uszkodzić system. Aby urządzenie było jak najbardziej bezpieczne, zawsze sprawdzaj, które aplikacje mają takie uprawnienia i wyłączaj te, które nie powinny.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Blokadę ekranu i bezpieczeństwo" i stuknij ją.
Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń". Stuknij tę opcję, a następnie stuknij „Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora. Stuknij je, a następnie stuknij „WYŁĄCZ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane malware MoneyMonger. Czy trzeba sformatować pamięć mojego urządzenia, aby się go pozbyć?
Nie, usunięcie MoneyMonger nie wymaga formatowania.
Jakie są największe problemy, jakie może powodować malware MoneyMonger?
Zagrożenia stwarzane przez infekcje malware zależą od funkcjonalności oprogramowania i sposobu działania cyberprzestępców. MoneyMonger to złośliwy program z funkcjami spyware i złodzieja danych.
Zaobserwowano, że malware jest wykorzystywane do ułatwiania uzyskania drogich pożyczek, sekstorsji, szantażu i różnych innych technik inżynierii społecznej w celu generowania przychodów. Dlatego główne zagrożenia związane z infekcjami MoneyMonger obejmują poważne problemy z prywatnością i znaczne straty finansowe.
Jaki jest cel malware MoneyMonger?
Większość szkodliwych programów służy do generowania przychodów, a MoneyMonger nie jest wyjątkiem. Należy jednak wspomnieć, że ataki te mogą mieć inne przyczyny. Cyberprzestępcy mogą wykorzystywać złośliwe oprogramowanie do zabawy, przeprowadzania osobistych wendet, zakłócania procesów (np. stron internetowych, usług, firm, organizacji itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.
Jak malware MoneyMonger przeniknęło do mojego urządzenia z systemem Android?
MoneyMonger jest rozpowszechniane za pośrednictwem zewnętrznych sklepów z aplikacjami. Jednak inne metody dystrybucji nie są mało prawdopodobne. Złośliwe oprogramowanie jest najczęściej dystrybuowane za pośrednictwem programów pobranych metodą drive-by, podejrzanych kanałów pobierania (np. witryn z freeware i stron z bezpłatnym hostingiem plików, sieci udostępniania P2P itp.), oszustw internetowych, złośliwych reklam, spamu (np. e-maili, wiadomości prywatnych/błyskawicznych, SMS-ów). itp.), narzędzi do nielegalnej aktywacji oprogramowania („pirackich") i fałszywych aktualizacji.
Znakomita!
▼ Pokaż dyskusję