Jak wyeliminować złośliwe oprogramowanie SpyAgent z urządzenia z Androidem
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest SpyAgent?
SpyAgent to złośliwy program atakujący urządzenia z systemem Android. To złośliwe oprogramowanie ma kilka funkcji kradzieży danych, które zostały wykorzystane do kradzieży portfeli kryptowalut. SpyAgent infiltruje systemy pod pozorem legalnych lub niewinnie brzmiących aplikacji; wykryto blisko 300 fałszywych aplikacji.
Od stycznia 2024 r. to złośliwe oprogramowanie było wykorzystywane do atakowania koreańskich użytkowników. Jednak w chwili pisania tego tekstu obserwuje się ekspansję na nowe terytoria. SpyAgent jest szeroko rozprzestrzeniany poprzez kampanie phishingowe, w szczególności - spam SMS (smishing) i DMs/PMs (wiadomości bezpośrednie/prywatne).
Przegląd złośliwego oprogramowania SpyAgent
Po instalacji, SpyAgent (ukryty jako nieszkodliwa aplikacja) żąda różnych uprawnień, takich jak działanie w tle, a także dostęp do pamięci urządzenia, kontaktów i SMS-ów. SpyAgent atakuje dane urządzenia, w tym listę kontaktów telefonicznych.
Złośliwe oprogramowanie może kraść zawartość SMS-ów (w tym OTP i 2FA/MFA) i wysyłać wiadomości tekstowe. Ponieważ program może wysyłać SMS-y, może wykorzystywać urządzenia ofiar do smishingu (prawdopodobnie do samodzielnej proliferacji) lub może działać jako złośliwe oprogramowanie Toll Fraud. SpyAgent może również zmieniać ustawienia dźwięku telefonu, prawdopodobnie w celu wyciszenia dźwięku przychodzących wiadomości SMS.
Program wykorzystuje jednak dodatkowe metody, aby ukryć swoje złośliwe działania i odwrócić uwagę użytkowników. Na przykład, fałszywa aplikacja może prezentować ofiarom nieskończone ekrany ładowania i tymczasowe puste/ciemne nakładki ekranowe, a także może generować nieuczciwe przekierowania do różnych stron internetowych.
Ponadto SpyAgent kradnie obrazy i zdjęcia. Ustalono, że głównym celem złośliwego oprogramowania jest wyszukiwanie zdjęć w nadziei na znalezienie takich, które zawierają frazy odzyskiwania portfela kryptowalut (mnemoniczne). Wyodrębniając te hasła, atakujący mogą ukraść odpowiednie kryptowaluty i przechowywane w nich zasoby cyfrowe.
Należy wspomnieć, że ze względu na prawie niemożliwy do wyśledzenia charakter tych transakcji - nie można ich cofnąć, a ofiary nie mogą odzyskać swoich środków.
Twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie, a ci odpowiedzialni za SpyAgent nie są wyjątkiem. Program ten przeszedł kilka ulepszeń, w tym lepsze zaciemnianie, nowe techniki targetowania ofiar i ekspansję na nowe regiony. Panel administracyjny złośliwego oprogramowania zawiera sekcję "iPhone". Chociaż jest on obecnie niekompatybilny z urządzeniami z systemem iOS, może to wskazywać na przyszłe plany programistów.
Podsumowując, obecność złośliwego oprogramowania, takiego jak SpyAgent, na urządzeniach może prowadzić do poważnych problemów z prywatnością, strat finansowych, a nawet kradzieży tożsamości.
| Nazwa | SpyAgent virus |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja |
| Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Siggen.Susp.14673), ESET-NOD32 (Wariant Android/Spy.OcrSpy.A), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.rc), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe. |
| Metody dystrybucji | Spam SMS i PM/DM, zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Straty pieniężne, kradzieżdanych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowywanie baterii, spadek prędkości Internetu, ogromne straty danych, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Wykrywanie złośliwego oprogramowania na Androida
Zbadaliśmy niezliczone próbki złośliwego oprogramowania; EagleSpy, Rocinante i Copybara to tylko kilka z naszych najnowszych artykułów na temat złośliwych programów atakujących urządzenia z systemem Android.
Złośliwe oprogramowanie może działać na wiele różnych sposobów; może mieć niezwykle specyficzny zestaw możliwości lub szeroki zakres. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać usunięte natychmiast po wykryciu.
Jak SpyAgent przeniknął na moje urządzenie?
Jak wspomniano we wstępie, zauważono, że SpyAgent rozprzestrzenia się za pośrednictwem kampanii phishingowych ułatwianych przez spam SMS i wiadomości prywatne / bezpośrednie (PM / DM). Spam może być zamaskowany jako wiadomości od prawdziwych podmiotów lub nieszkodliwie brzmiących nadawców.
Te SMS-y i PM-y/DM-y wabią ofiary do otwarcia złośliwych stron internetowych, z których niektóre doskonale kopiują wygląd legalnych witryn. SpyAgent nosi różne przebrania, od oprogramowania powiązanego z organami rządowymi po aplikacje do przesyłania strumieniowego. Wykryto dwieście osiemdziesiąt aplikacji.
Od wczesnej zimy 2024 r. SpyAgent był wykorzystywany w kampaniach skierowanych do koreańskich użytkowników. W czasie badań zaobserwowano pojawienie się nowej kampanii - skoncentrowanej na użytkownikach z Wielkiej Brytanii.
Ponieważ SpyAgent może wysyłać wiadomości tekstowe, może wykorzystywać urządzenia ofiar do uruchamiania kampanii smishingowych. Dlatego też wiadomości SMS rozprzestrzeniające SpyAgent mogą pochodzić od znanych nadawców, tj. wysłane do początkowych kontaktów ofiary. Możliwe są jednak inne metody dystrybucji.
Najbardziej rozpowszechnione techniki rozprzestrzeniania złośliwego oprogramowania obejmują: złośliwe załączniki lub linki w spamie (np. SMS-y, wiadomości PM/DM, e-maile, posty w mediach społecznościowych itp.), pobieranie drive-by (ukradkowe/zwodnicze), oszustwa internetowe, złośliwą reklamę, podejrzane kanały pobierania (np. witryny z freeware i darmowymi hostingami plików, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zachowanie ostrożności w przypadku poczty przychodzącej (np. e-maili, wiadomości PM/DM, SMS-ów itp.). Nie należy otwierać załączników ani linków znajdujących się w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być złośliwe. Innym zaleceniem jest zachowanie ostrożności podczas przeglądania, ponieważ Internet jest pełen dobrze ukrytych fałszywych i niebezpiecznych treści.
Ponadto wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Oprogramowanie musi być aktywowane i aktualizowane przy użyciu funkcji/narzędzi dostarczanych przez legalnych deweloperów, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Zainstalowanie i aktualizowanie renomowanego programu antywirusowego ma kluczowe znaczenie dla integralności urządzenia i bezpieczeństwa użytkownika. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń.
Przykłady wiadomości spamowych wykorzystywanych do nakłonienia ofiar do pobrania SpyAgent (źródło obrazu - McAfee):
Przykład fałszywej strony promującej SpyAgent i fałszywej aplikacji proszącej o uprawnienia (źródło obrazu - McAfee):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij jej.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź akcję, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku zaznacz opcję "Powiadomienia" i naciśnij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij jej.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo uniemożliwia uruchamianie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i stuknij ją.
Stuknij "Bateria" i sprawdź użycie każdej aplikacji. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Utrzymywanie aktualnego oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Aktualizację oprogramowania" i dotknij jej.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Przywrócenie ustawień fabrycznych to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem SpyAgent, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga tak drastycznych środków.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie SpyAgent?
Zagrożenia stwarzane przez infekcję zależą od funkcjonalności złośliwego oprogramowania i celów cyberprzestępców. SpyAgent może kraść i wysyłać SMS-y, a także pobierać obrazy z urządzeń ofiar. Program ten jest wykorzystywany do skanowania skradzionych obrazów w poszukiwaniu danych logowania do kryptowalut (haseł). Tego rodzaju infekcje wiążą się z poważnymi zagrożeniami prywatności, stratami finansowymi i kradzieżą tożsamości.
Jaki jest cel złośliwego oprogramowania SpyAgent?
Złośliwe oprogramowanie jest najczęściej wykorzystywane w celach zarobkowych. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. stron internetowych, usług, firm, organizacji itp.) oraz przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie SpyAgent przeniknęło do mojego urządzenia z Androidem?
SpyAgent był aktywnie rozprzestrzeniany za pośrednictwem spamu SMS i DM/PM pod przykrywką legalnych/niewinnie wyglądających aplikacji. Możliwe są również inne metody.
Oprócz spamu, złośliwe oprogramowanie jest powszechnie rozpowszechniane poprzez pobieranie drive-by, oszustwa internetowe, złośliwe reklamy, podejrzane źródła pobierania (np. darmowe oprogramowanie i darmowe witryny hostujące pliki, sieci udostępniania Peer-to-Peer, sklepy z aplikacjami innych firm itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner został zaprojektowany do skanowania urządzeń i eliminowania wszelkiego rodzaju zagrożeń. Potrafi wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wykonanie pełnego skanowania systemu jest najważniejsze, ponieważ wyrafinowane złośliwe programy zazwyczaj ukrywają się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję