Jak usunąć AridSpy z zainfekowanych urządzeń
Napisany przez Tomasa Meskauskasa,
Czym jest AridSpy?
AridSpy to złośliwe oprogramowanie (trojan) atakujące użytkowników Androida. Cyberprzestępcy dostarczają AridSpy za pośrednictwem aplikacji trojańskich, które zawierają złośliwy kod. To złośliwe oprogramowanie jest wykorzystywane do kradzieży różnych informacji z zainfekowanych urządzeń z systemem Android. AridSpy powinien zostać jak najszybciej wyeliminowany z zainfekowanych urządzeń.
AridSpy w szczegółach
Po zainstalowaniu aplikacji z AridSpy złośliwe oprogramowanie sprawdza obecność określonych narzędzi bezpieczeństwa w systemie operacyjnym i wysyła te informacje do serwera dowodzenia i kontroli (C2). Jeśli złośliwe oprogramowanie stwierdzi, że żadne z narzędzi bezpieczeństwa z jego listy nie jest zainstalowane, pobiera ładunek pierwszego etapu.
Początkowy ładunek udaje aktualizację usług Google Play. Kiedy użytkownicy instalują tę złośliwą aktualizację, podszywa się ona pod nazwy takie jak Play Manager lub Service Google. Ten ładunek działa niezależnie i nie wymaga, aby trojanizowana aplikacja była obecna na tym samym urządzeniu.
Zadaniem ładunku pierwszego etapu jest pobranie ładunku drugiego etapu, który jest plikiem wykonywalnym Dalvik. Ładunek drugiego etapu zawiera złośliwą funkcjonalność, zaprojektowaną specjalnie do eksfiltracji danych.
AridSpy może zbierać szeroki zakres danych, takich jak dzienniki połączeń, listy kontaktów, wiadomości tekstowe, lokalizacja urządzenia, bazy danych WhatsApp, dane schowka, otrzymane powiadomienia, komunikacja Facebook Messenger i WhatsApp, zakładki (i historia wyszukiwania) z kilku przeglądarek oraz pliki z określonymi rozszerzeniami przechowywane w pamięci zewnętrznej.
Co więcej, złośliwe oprogramowanie nagrywa rozmowy telefoniczne, robi zdjęcia, nagrywa dźwięk przez mikrofon i wykonuje keylogging, przechwytując cały tekst widoczny i edytowalny w dowolnej zainstalowanej aplikacji.
| Nazwa | AridSpy Trojan |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, trojan |
| Nazwy wykrywania | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Spyware.AridSpy.A), ESET-NOD32 (Wariant Android/Spy.AridSpy.A), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.c), Pełna lista (VirusTotal). |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Aplikacje trojańskie, zewnętrzne sklepy z aplikacjami, zwodnicze strony internetowe |
| Uszkodzenie | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości. |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Możliwe uszkodzenia
Rozbudowane możliwości złośliwego oprogramowania AridSpy mogą prowadzić do poważnych negatywnych konsekwencji dla ofiar. Mogą one obejmować kradzież tożsamości i oszustwa finansowe. Skradzione dane mogą zostać wykorzystane do podszywania się pod ofiary lub uzyskania nieautoryzowanego dostępu do ich kont i informacji finansowych. Ofiary mogą również ponieść straty finansowe.
Co więcej, ofiary mogą być monitorowane pod kątem ich prywatnych rozmów i działań bez ich wiedzy i zgody, co prowadzi do naruszenia prywatności. Ogólnie rzecz biorąc, możliwości AridSpy stwarzają poważne ryzyko i potencjalne szkody dla ofiar.
Jak AridSpy przeniknął do mojego urządzenia?
AridSpy jest rozprzestrzeniany za pośrednictwem trojanizowanych wersji legalnych aplikacji, takich jak LapizaChat, NortirChat i ReblyChat. Aplikacje te naśladują prawdziwe programy, takie jak StealthChat, Session i Voxer Walkie Talkie Messenger, fałszywie twierdząc, że oferują bezpieczne usługi czatu.
Ponadto złośliwe oprogramowanie rozprzestrzenia się również za pośrednictwem aplikacji udających palestyński rejestr cywilny i aplikację z ofertami pracy, z których żadna nie jest trojanizowaną wersją istniejących legalnych aplikacji. Urządzenia są infekowane po pobraniu i zainstalowaniu złośliwych aplikacji za pośrednictwem stron internetowych lub sklepów z aplikacjami innych firm.
Jak uniknąć instalacji złośliwego oprogramowania?
Pobieraj aplikacje z oficjalnych źródeł (oficjalnych stron i sklepów z aplikacjami). Unikaj pobierania z innych źródeł, aby uniknąć pobierania złośliwych lub innych niechcianych aplikacji. Czytaj również recenzje i sprawdzaj oceny przed zainstalowaniem jakichkolwiek aplikacji. Nie otwieraj linków w podejrzanych wiadomościach e-mail lub wiadomościach z nieznanych adresów lub numerów.
Unikaj interakcji z wyskakującymi okienkami, reklamami, przyciskami i podobnymi treściami wyświetlanymi w podejrzanych witrynach. Regularnie skanuj swoje urządzenia w poszukiwaniu niechcianych aplikacji i usuwaj wykryte zagrożenia. Ponadto należy aktualizować wszystkie aplikacje i system operacyjny.
Zrzut ekranu trojanów (NortirChat, ReblyChat, LapizaChat) zawierających AridSpy - źródło: welivesecurity[.]com:
Inne przykłady aplikacji wykorzystywanych do dostarczania AridSpy - źródło: welivesecurity[.]com:
Zrzut ekranu AridSpy żądającego pobrania ładunku pierwszego etapu - źródło: welivesecurity[.]com:
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny dostarczające powiadomienia przeglądarki, dotknij ich i kliknij "Clear & reset". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "ZARZĄDZANIE PRZECHOWYWANIEM", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, dotykając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "Zamkiem") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "Wyczyść".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "WYCZYŚĆ DANE" i potwierdź czynność, dotykając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu bezpiecznego".
Uruchom urządzenie z systemem Android w trybie awaryjnym:
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Zasilanie" i przytrzymaj go do momentu wyświetlenia ekranu "Wyłączanie". Stuknij ikonę "Wyłącz zasilanie" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić poprzez ponowne uruchomienie urządzenia.
Sprawdź zużycie baterii w różnych aplikacjach:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywały jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego też należy zawsze upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "O telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Zresetuj ustawienia" - przywrócenie wszystkich ustawień systemowych do wartości domyślnych;
"Zresetuj ustawienia sieciowe" - przywrócenie wszystkich ustawień sieciowych do wartości domyślnych;
"Zresetuj dane fabryczne" - zresetowanie całego systemu i całkowite usunięcie wszystkich zapisanych danych;
Wyłącz aplikacje z uprawnieniami administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie jest zainfekowane złośliwym oprogramowaniem AridSpy, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie urządzenia pamięci masowej skutecznie usunie złośliwe oprogramowanie AridSpy z urządzenia. Spowoduje to jednak również usunięcie wszystkich danych. Zaleca się przeskanowanie zainfekowanego urządzenia za pomocą renomowanego narzędzia bezpieczeństwa, takiego jak Combo Cleaner, aby sprawdzić, czy AridSpy można wykryć i wyeliminować bez formatowania urządzenia pamięci masowej.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może powodować poważne problemy, takie jak kradzież danych, kradzież tożsamości, straty finansowe i dodatkowe infekcje. Może również zakłócać normalne działanie urządzenia i zagrażać stabilności systemu.
Jaki jest cel AridSpy?
Celem AridSpy jest gromadzenie poufnych danych i prowadzenie nadzoru na zainfekowanych urządzeniach.
Jak AridSpy przeniknął do mojego urządzenia?
AridSpy zazwyczaj infiltruje urządzenia za pośrednictwem trojanów podszywających się pod legalne oprogramowanie lub poprzez zwodnicze pobieranie i instalowanie.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner skutecznie wykrywa i usuwa niemal wszystkie znane złośliwe programy. Zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie. Dlatego wykonanie pełnego skanowania systemu jest niezbędne, aby zapewnić całkowite wykrycie i usunięcie.
Znakomita!
▼ Pokaż dyskusję