Jak usunąć MMRat z systemu operacyjnego
Napisany przez Tomasa Meskauskasa,
Jakim malware jest MMRat?
Od końca czerwca 2023 r. trojan bankowy dla systemu Android o nazwie MMRat atakuje użytkowników mobilnych w Azji Południowo-Wschodniej. Jest on w stanie przechwytywać zarówno dane wejściowe użytkownika, jak i aktywność na ekranie, jednocześnie umożliwiając zdalną kontrolę docelowych urządzeń za pomocą różnych metod. Dzięki temu atakujący mogą przeprowadzić oszustwo bankowe bezpośrednio na urządzeniu ofiary.
Przegląd malware MMRat
Jak wspomniano wcześniej, MMRat posiada zdolność przechwytywania danych wprowadzanych przez użytkownika, treści ekranu i sprawowania zdalnej kontroli nad urządzeniami ofiary. Efektywna funkcjonalność zależy od wykorzystania usługi Android Accessibility oraz API MediaProjection.
MMRat czasami udaje aplikację rządową lub randkową, gdy jest otwierana w celu oszukania użytkowników. Następnie pokazuje fałszywą witrynę, aby oszukać ludzi. Następnie konfiguruje odbiornik do nasłuchiwania określonych zdarzeń systemowych, na przykład włączania i wyłączania urządzenia. Kiedy takie zdarzenia mają miejsce, malware robi coś niepozornego, aby utrzymać działanie.
Po aktywowaniu usługi dostępności MMRat łączy się z serwerem kontrolowanym przez atakującego. MMRat wykorzystuje różne porty na tym samym serwerze do różnych zadań, takich jak eksfiltracja danych, strumieniowe przesyłanie wideo oraz dowodzenie i kontrola. Po otrzymaniu pozwolenia na dostępność, MMRat może go niewłaściwie wykorzystać, aby nadać sobie dodatkowe uprawnienia i dokonać zmian w ustawieniach.
MMRat ma możliwość automatycznego uzyskiwania uprawnień. Robi to poprzez wyświetlanie okna dialogowego systemu i automatyczne udzielanie przychodzących próśb o pozwolenie. Wiadomo, że szkodliwe oprogramowanie koncentruje się na zbieraniu informacji z listy kontaktów ofiary oraz listy zainstalowanych aplikacji.
MMRat również niewłaściwie wykorzystuje usługę dostępności do przechwytywania tego, co użytkownicy wpisują i robią, zasadniczo zapisując ich działania (rejestrując naciśnięcia klawiszy). Informacje te mogą zostać wykorzystane do zdobycia danych logowania ofiary i zarejestrowania jej działań do wykorzystania w przyszłości na urządzeniu.
W przeciwieństwie do innych szkodliwych programów rejestrujących klawisze, których celem są określone sytuacje, np. rejestrowanie kluczy podczas korzystania z aplikacji bankowych, MMRat rejestruje wszystko, co robią użytkownicy, i wysyła je na serwer atakującego za pomocą kanału zarządzania i kontroli.
Oprócz regularnego rejestrowania naciśnięć klawiszy, malware koncentruje się również na schemacie ekranu blokady urządzenia. Kiedy wykryje, że użytkownik odblokowuje urządzenie, przechwytuje wartość wzorca i wysyła ją do serwera atakującego za pomocą kanału zarządzania i kontroli. W ten sposób osoba zagrażająca może uzyskać dostęp do urządzenia ofiary, nawet jeśli jest ono zablokowane.
Co więcej, MMRat może przechwycić zawartość ekranu urządzenia ofiary i wysłać ją na serwer w czasie rzeczywistym. Osiąga to poprzez wykorzystanie interfejsu API MediaProjection do rejestrowania tego, co dzieje się na ekranie ofiary.
Malware MMRat wykorzystuje również usługę dostępności w celu przejęcia zdalnej kontroli nad urządzeniem ofiary, umożliwiając jej między innymi wykonywanie takich czynności, jak gesty, odblokowywanie ekranów i wprowadzanie tekstu. Podmioty zagrażające mogą wykorzystać tę funkcję wraz ze skradzionymi danymi uwierzytelniającymi do przeprowadzania oszustw bankowych i innych złośliwych działań.
To malware jest w stanie zdalnie kontrolować urządzenie, nawet jeśli ofiary nie korzystają z zainfekowanych urządzeń. Wreszcie złośliwe oprogramowanie MMRat może usunąć się z urządzenia po otrzymaniu określonego polecenia z serwera zarządzania i kontroli. Zwykle dzieje się tak po tym, jak dopuścił się oszustwa bankowego, co utrudnia śledzenie jego działań.
| Nazwa | Trojan bankowy MMRat |
| Typ zagrożenia | Złośliwe oprogramowanie dla systemu Android, złośliwa aplikacja trojana bankowego. |
| Nazwy wykrycia | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Agent.gHWAO), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.mj), ZoneAlarm by Check Point (HEUR:Trojan-Banker.AndroidOS.Agent.mj), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemu są zmieniane bez zgody użytkownika, znacznie wzrasta zużycie danych i baterii, nieautoryzowane transakcje pieniężne i inne podejrzane działania. |
| Metody dystrybucji | Witryny phishingowe udające legalne sklepy z aplikacjami, fałszywe aplikacje (np. aplikacje randkowe lub rządowe). |
| Zniszczenie | Kradzież tożsamości, nieautoryzowany dostęp do rachunków bankowych, konsekwencje finansowe, naruszenia prywatności i nie tylko. |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Wniosek
Podsumowując, malware MMRat stanowi poważne zagrożenie ze względu na jego wieloaspektowe możliwości, począwszy od przechwytywania danych wejściowych użytkownika i zawartości ekranu po zdalne sterowanie urządzeniami za pośrednictwem usługi dostępności i interfejsu API MediaProjection.
Jego zdolność do tajnego działania, podszywania się pod legalne aplikacje i automatycznego udzielania uprawnień, zwiększa jego potencjał siania spustoszenia. Malware skupia się na przechwytywaniu wzorów ekranów blokady, zawartości ekranu w czasie rzeczywistym i funkcji samousuwania, co podkreśla jego wyrafinowany projekt.
Więcej przykładów malware atakującego użytkowników Androida to CraxsRAT, CherryBlos i CriminalBot.
Jak malware MMRat dostało się na moje urządzenie?
MMRat jest zwykle pozyskiwany ze stron phishingowych udających oficjalne sklepy z aplikacjami. Strony te, różniące się przede wszystkim językiem, sugerują docelowe grupy ofiar. Metoda dystrybucji linków phishingowych na urządzenia ofiar pozostaje niepewna.
Urządzenia zostają zainfekowane, gdy użytkownicy nieświadomie pobierają i instalują MMRat oraz przyznają malware niezbędne uprawnienia. Następnie MMRat łączy się ze zdalnym serwerem i wysyła ważne dane, takie jak stan urządzenia, dane osobowe i dane rejestrujące naciśnięcia klawiszy.
Jak uniknąć instalacji malware?
Pobieraj aplikacje wyłącznie z zaufanych źródeł, takich jak oficjalny sklep Google Play, ponieważ zastosowano w nim środki bezpieczeństwa minimalizujące ryzyko pojawienia się złośliwych aplikacji. Przed pobraniem aplikacji poświęć trochę czasu na przeczytanie recenzji i ocen użytkowników. Regularnie aktualizuj system operacyjny i aplikacje swojego urządzenia, aby korzystać z najnowszych poprawek zabezpieczeń.
Nie ufaj reklamom, linkom i różnym okienkom pop-up na podejrzanych stronach internetowych. Ponadto należy zachować ostrożność podczas udzielania uprawnień aplikacjom. Dokładnie przeglądaj uprawnienia i unikaj udzielania niepotrzebnego dostępu do swoich danych osobowych. Na koniec rozważ użycie renomowanych aplikacji antywirusowych lub bezpieczeństwa, które mogą skanować urządzenie w poszukiwaniu infekcji złośliwym oprogramowaniem i zapobiegać im.
Strony phishingowe udające prawdziwe sklepy z aplikacjami:
Malware MMRat udające aplikację PEA Smart Plus:
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak przywrócić przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak przywrócić przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w "Trybie awaryjnym"?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak przywrócić system do jego stanu domyślnego?
- Jak wyłączyć aplikacje, które mają uprawnienia administratora?
Usuń historię przeglądania z przeglądarki Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Stuknij „Wyczyść dane przeglądania". Wybierz zakładkę „ZAAWANSOWANE". Wybierz zakres czasu i typy danych, które chcesz usunąć i stuknij „Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Ustawienia".
Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny" i kliknij ją. Przewiń w dół, aż zobaczysz opcję „Powiadomienia" i stuknij ją.
Znajdź witryny, które wyświetlają powiadomienia przeglądarki. Stuknij je i kliknij „Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom w celu wyświetlania powiadomień. Jednak, jeśli ponownie odwiedzisz tę samą witrynę może ona ponownie poprosić o zgodę. Możesz wybrać czy udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji „Zablokowane" i nie będzie już prosić o zgodę).
Przywróć przeglądarkę Chrome:
Przejdź do sekcji „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Chrome". Wybierz ją i stuknij opcję „Pamięć".
Stuknij „ZARZĄDZAJ PAMIĘCIĄ", a następnie „WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając „OK". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Stuknij przycisk „Menu" (trzy kropki w prawym górnym rogu ekranu) i w otwartym menu rozwijanym wybierz „Historię".
Przewiń w dół, aż zobaczysz „Wyczyść prywatne dane" i stuknij tę opcję. Wybierz typy danych, które chcesz usunąć i stuknij „WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która wyświetla powiadomienia przeglądarki. Stuknij ikonę wyświetlaną po lewej stronie paska adresu URL (ikona niekoniecznie będzie oznaczać „Kłódkę") i wybierz „Edytuj ustawienia witryny".
W otwartym okienku pop-up zaznacz opcję „Powiadomienia" i stuknij „WYCZYŚĆ".
Przywróć przeglądarkę Firefox:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż znajdziesz aplikację „Firefox". Wybierz ją i wybierz opcję „Pamięć".
Stuknij „WYCZYŚĆ DANE" i potwierdź akcję stukając „USUŃ". Pamiętaj, że przywrócenie przeglądarki usunie wszystkie przechowywane w niej dane. W związku z tym wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia niestandardowe i inne dane zostaną usunięte. Będziesz także musiał ponownie zalogować się do wszystkich stron internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz „Aplikacje" i stuknij tę opcję.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację. Wybierz ją i stuknij „Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. wyświetla się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego".
Uruchom urządzenie z Androidem w „Trybie awaryjnym":
„Tryb awaryjny" w systemie operacyjnym Android tymczasowo wyłącza uruchamianie wszystkich aplikacji innych firm. Korzystanie z tego trybu to dobry sposób na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają to, gdy urządzenie działa „normalnie").
Naciśnij przycisk „Zasilanie" i przytrzymaj go, aż zobaczysz ekran „Wyłącz". Stuknij ikonę „Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny" i będzie ją kliknąć, aby ponownie uruchomić urządzenie.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Konserwacja urządzenia" i stuknij ją.
Stuknij „Baterię" i sprawdź użycie każdej aplikacji. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Połączenia" i stuknij ją.
Przewiń w dół, aż zobaczysz „Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie zminimalizować zużycie danych. Dlatego znaczne wykorzystanie danych może wskazywać na obecność złośliwej aplikacji. Pamiętaj, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest połączone z siecią bezprzewodową. Z tego powodu należy sprawdzić użycie danych mobilnych i Wi-Fi.
Jeśli znajdziesz aplikację, która wykorzystuje znaczące dane, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jej natychmiastowe odinstalowanie.
Zainstaluj najnowsze aktualizacje oprogramowania:
Utrzymywanie aktualności oprogramowania to dobra praktyka zapewniająca bezpieczeństwo urządzeń. Producenci urządzeń nieustannie publikują różne łatki bezpieczeństwa i aktualizacje Androida, aby naprawić błędy i luki, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki. Dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Aktualizacje oprogramowania" i stuknij ją.
Stuknij opcję „Pobierz aktualizacje ręcznie" i sprawdź, czy są dostępne aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie". Pozwoli to systemowi powiadomić cię o wydaniu aktualizacji i/lub zainstalować ją automatycznie.
Przywróć system do stanu domyślnego:
Wykonanie „Resetu do ustawień fabrycznych" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie ustawień systemowych do wartości domyślnych i ogólne wyczyszczenie urządzenia. Pamiętaj również, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS itd. Oznacza to, że urządzenie zostanie przywrócone do stanu początkowego/fabrycznego.
Możesz także przywrócić podstawowe ustawienia systemowe lub po prostu ustawienia sieciowe.
Przejdź do „Ustawienia". Przewiń w dół, aż zobaczysz opcję „Informacje o telefonie" i stuknij ją.
Przewiń w dół, aż zobaczysz opcję „Przywróć" i stuknij ją. Teraz wybierz akcję, którą chcesz wykonać:
„Przywróć ustawienia" – przywróć wszystkie ustawienia systemowe do domyślnych;
„Przywróć ustawienia sieciowe" – przywróć wszystkie ustawienia związane z siecią do domyślnych;
„Przywróć dane fabryczne" – przywróć cały system i całkowicie usuń wszystkie zapisane dane.
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby urządzenie było jak najbardziej bezpieczne, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do „Ustawień". Przewiń w dół, aż zobaczysz opcję „Blokadę ekranu i bezpieczeństwo" i stuknij ją.
Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń". Stuknij tę opcję, a następnie stuknij „Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora. Stuknij je, a następnie stuknij „WYŁĄCZ".
Często zadawane pytania (FAQ)
Moje urządzenie jest zainfekowane malware MMRat. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Jeśli twoje urządzenie jest zainfekowane malware MMRat, rozwiązaniem może być sformatowanie urządzenia pamięci masowej. Spowoduje to jednak usunięcie wszystkich danych z urządzenia. Przed formatowaniem możesz spróbować użyć renomowanego oprogramowania antywirusowego, takiego jak Combo Cleaner, aby usunąć malware bez formatowania.
Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?
Malware może naruszyć poufne dane osobowe i finansowe, powodując kradzież tożsamości i straty finansowe. Może również zakłócać normalne działanie komputera, powodując awarie systemu, spowolnienie i uszkodzenie danych. Wyrafinowane złośliwe oprogramowanie, takie jak ransomware, może zablokować użytkownikom dostęp do ich plików, żądając zapłaty za ich udostępnienie, co skutkuje utratą danych, zakłóceniami działalności i potencjalnym wyłudzeniem finansowym.
Jaki jest cel złośliwego oprogramowania MMRat?
Celem malware MMRat jest przeprowadzanie różnych szkodliwych działań na urządzeniach z systemem Android. Zostało zaprojektowane do przechwytywania danych wejściowych użytkownika, zawartości ekranu i wzorców ekranów blokady, zapewniając zdalną kontrolę nad urządzeniami ofiary. Kontrola ta umożliwia operatorom złośliwego oprogramowania prowadzenie takich działań, jak nieautoryzowany dostęp, oszustwa bankowe, potencjalna kradzież tożsamości i inne.
Jak malware MMRat przeniknęło do mojego urządzenia?
Złośliwe oprogramowanie MMRat zwykle infiltruje urządzenia za pośrednictwem witryn phishingowych udających legalne sklepy z aplikacjami. Użytkownicy nieświadomie pobierają i instalują złośliwe oprogramowanie z tych zwodniczych witryn.
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner może znaleźć i usunąć większość typów złośliwego oprogramowania. Jednak znalezienie niektórych podstępnych złośliwych programów może być trudne, dlatego najlepiej jest wykonać pełne skanowanie całego systemu, aby mieć pewność, że wszystko zostanie wykryte.
Znakomita!
▼ Pokaż dyskusję