Instrukcje usuwania złośliwego oprogramowania typu spyware Monokle
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest Monokle?
Monokle to program typu spyware, który atakuje urządzenia z systemem Android. Jest w stanie wyodrębnić obszerne dane geolokalizacyjne, nagrywać rozmowy, czytać wiadomości, eksfiltrować pliki i wykonywać inne złośliwe działania.
Złośliwe oprogramowanie zostało wykryte na urządzeniu zwróconym właścicielowi po tym, jak zostało zajęte przez rosyjskie władze. Przed jego zwrotem właściciel - rosyjski programista oskarżony o wysyłanie pieniędzy do Ukrainy - został zatrzymany i przetrzymywany w areszcie. Po zwolnieniu zaobserwował podejrzane zachowanie na zwróconym smartfonie i zwrócił się o pomoc do organizacji pomocy prawnej, co doprowadziło do odkrycia oprogramowania szpiegującego Monokle.
Przegląd złośliwego oprogramowania Monokle
Jak wspomniano we wstępie, Monokle został wykryty na urządzeniu, które znajdowało się pod opieką rosyjskich władz. Jego właściciel był przetrzymywany w areszcie i podobno został fizycznie skrzywdzony, ponieważ władze naciskały na niego, by został informatorem Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB).
Władze próbowały również uzyskać hasło do przejętego telefonu za pomocą przemocy i gróźb. Monokle został prawdopodobnie zainstalowany na tym urządzeniu bez polegania na ukrytych technikach infiltracji. Dlatego też, jeśli to oprogramowanie szpiegujące jest lub będzie rozprzestrzeniane przy użyciu takich metod - są one obecnie nieznane.
Podejrzanym zachowaniem, które wskazało właścicielowi, że jego urządzenie zostało naruszone, było powiadomienie"Synchronizacja Arm cortex vx3", które nie jest standardowym alertem dla danego telefonu. Należy wspomnieć, że jest możliwe, a nawet prawdopodobne, że ten rodzaj wskaźnika nie pojawi się w innych infekcjach Monokle.
W tym przypadku oprogramowanie szpiegujące podszyło się pod Cube Call Recorder - legalną aplikację do automatycznego nagrywania rozmów telefonicznych i połączeń wykonywanych za pośrednictwem aplikacji komunikacyjnych. W pierwszym etapie infekcji Monokle żąda różnych uprawnień, aby ułatwić sobie złośliwe działania. Trzy z tych uprawnień są zgodne z tymi, o które prosi Cube Call Recorder i obejmują uzyskiwanie dokładnych danych o lokalizacji, uzyskiwanie danych kontaktowych i nagrywanie rozmów telefonicznych.
Jednak to złośliwe oprogramowanie prosi o więcej uprawnień, takich jak jeszcze większy dostęp do danych geolokalizacyjnych (np. pozyskiwanie ich nawet wtedy, gdy aplikacja nie jest używana), uzyskiwanie informacji o urządzeniu i koncie (np. szczegóły systemu, zainstalowane aplikacje itp.), nagrywanie ekranu i wideo za pomocą kamer urządzenia, zarządzanie SMS-ami (np. czytanie, wysyłanie itp.), odbieranie przychodzących połączeń telefonicznych, odczytywanie wpisów kalendarza oraz pobieranie / instalowanie dodatkowej (złośliwej) zawartości.
Warto wspomnieć, że Monokle nadużywa Android Accessibility Services - techniki standardowej dla złośliwego oprogramowania atakującego te systemy operacyjne. Usługi ułatwień dostępu mają na celu zapewnienie dodatkowej pomocy w interakcji z urządzeniem użytkownikom, którzy tego wymagają (np. czytanie ekranu, symulacja ekranu dotykowego itp.). Dlatego oprogramowanie, które nadużywa tych usług, zyskuje wszystkie ich możliwości.
Znaczna część możliwości Monokle jest ustanawiana w drugim etapie infekcji. Faza ta jest mocno zaciemniona w celu zapobiegania wykryciu. Na tym etapie niektóre z umiejętności przyznanych w pierwszym etapie uprawnień są rozszerzane.
Inne funkcje ustanowione w tej fazie obejmują dodawanie nowego administratora do urządzenia, wykonywanie poleceń powłoki, wstrzykiwanie JavaScript, keylogging (rejestrowanie naciśnięć klawiszy), eksfiltrację plików, wyodrębnianie przechowywanych danych logowania (w tym hasła blokady urządzenia) i odczytywanie wiadomości z różnych komunikatorów.
Na tym etapie Monokle pobiera/instaluje dodatkowe biblioteki dla dodatkowej złośliwej funkcjonalności. Zauważono wprowadzenie bibliotek do przesyłania strumieniowego audio / wideo na żywo oraz do wysyłania (przesyłania) plików z urządzenia.
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego też potencjalne przyszłe iteracje Monokle mogą posiadać dodatkowe/różne możliwości i funkcje. Na przykład, w Monokle odkryto odniesienia do kodu iOS; możliwe jest więc, że istnieje lub będzie istnieć wersja tego złośliwego oprogramowania, która jest ukierunkowana na iPhone'y.
Podsumowując, obecność oprogramowania takiego jak Monokle na urządzeniach może skutkować wieloma infekcjami systemu, poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości. Zagrożenia związane z Monokle mogą być jeszcze bardziej znaczące, ponieważ to oprogramowanie szpiegujące jest ewidentnie wykorzystywane z motywacjami geopolitycznymi.
| Nazwa | Monokle malware |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, oprogramowanie szpiegujące. |
| Nazwy wykrywania | Avast-Mobile (APK:RepMalware [Trj]), DrWeb (Android.Monokle.2), ESET-NOD32 (Android/Spy.Monokle.A), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Monocle.l), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady oprogramowania szpiegującego typu Android
Pisaliśmy o niezliczonych złośliwych programach; AwSpy, Mandrake, Kamran i Predator to tylko niektóre z naszych artykułów na temat oprogramowania szpiegującego ukierunkowanego na system Android.
Złośliwe oprogramowanie to szeroki termin obejmujący oprogramowanie o szerokiej gamie niebezpiecznych możliwości. Niezależnie jednak od sposobu działania złośliwego programu - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być eliminowane natychmiast po wykryciu.
Jak Monokle przeniknął na moje urządzenie?
Monokle został wykryty na urządzeniu, które zostało zwrócone właścicielowi po konfiskacie przez rosyjskie władze. Właścicielem zainfekowanego telefonu jest rosyjski programista, który został zatrzymany pod zarzutem wysyłania pieniędzy do Ukrainy. Został zatrzymany wraz z małżonką, a ich mieszkanie zostało przeszukane, co doprowadziło do przejęcia smartfona.
Podczas 15-dniowego pobytu w areszcie grożono mu dożywociem i pobiciem. Działania te miały na celu skłonienie programisty do zostania informatorem Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB). Został on również zmuszony do ujawnienia hasła do przejętego urządzenia, które zostało następnie zwrócone z zainstalowanym Monokle.
W związku z tym to oprogramowanie szpiegujące zostało prawdopodobnie wprowadzone bez polegania na wyrafinowanych technikach infiltracji i rozprzestrzeniania. Nie oznacza to jednak, że takie metody nie są lub nie będą wykorzystywane do dystrybucji tego złośliwego oprogramowania.
Na smartfonie, na którym znaleziono Monokle, był on zamaskowany jako Cube Call Recorder - legalna aplikacja dostępna w sklepie Google Play. Podobnie, możliwe jest, że to oprogramowanie szpiegujące będzie rozprzestrzeniane pod różnymi postaciami. Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się przy użyciu taktyk phishingowych i socjotechnicznych. Zazwyczaj jest ono ukryte lub dołączone do zwykłego oprogramowania/mediów.
Najbardziej rozpowszechnione techniki dystrybucji złośliwego oprogramowania obejmują: pobieranie drive-by (ukradkowe/zwodnicze), niezaufane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania Peer-to-Peer, sklepy z aplikacjami innych firm itp.), spam, oszustwa internetowe, złośliwe reklamy, nielegalne narzędzia do aktywacji oprogramowania ("cracking") i fałszywe aktualizacje.
Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zalecamy czujność podczas przeglądania, ponieważ Internet jest pełen zwodniczych i złośliwych treści. Do przychodzących wiadomości e-mail, wiadomości PM/DM, SMS-ów i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być zakaźne.
Ponadto wszystkie pliki do pobrania muszą być pobierane z oficjalnych i zweryfikowanych kanałów. Innym zaleceniem jest aktywacja i aktualizacja oprogramowania przy użyciu legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem Monokle, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe zagrożenia powodowane przez złośliwe oprogramowanie Monokle?
Zagrożenia związane z infekcją zależą od funkcji złośliwego oprogramowania i sposobu działania cyberprzestępców. Monokle to oprogramowanie szpiegujące, które rejestruje i kradnie poufne dane. Ogólnie rzecz biorąc, infekcje tego rodzaju mogą prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Należy wspomnieć, że Monokle został wykryty na urządzeniu zwróconym po zajęciu przez rosyjskie władze, po zwolnieniu właściciela, który był przetrzymywany pod zarzutem wysyłania pieniędzy do Ukrainy. W związku z tym to złośliwe oprogramowanie jest wykorzystywane z motywacjami geopolitycznymi - i jako takie, jego infekcje mogą powodować zagrożenia o jeszcze większym znaczeniu.
Jaki jest cel złośliwego oprogramowania Monokle?
Jak wskazano w poprzedniej odpowiedzi, Monokle jest wykorzystywany z powodów geopolitycznych. Chociaż nie jest to rzadka motywacja stojąca za infekcjami złośliwym oprogramowaniem, nie jest to jedyna. Złośliwe oprogramowanie jest wykorzystywane głównie w celu uzyskania korzyści finansowych. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, realizowania osobistych urazów, zakłócania procesów (np. stron internetowych, usług, firm, organizacji itp.) oraz angażowania się w haktywizm.
Jak złośliwe oprogramowanie Monokle przeniknęło na moje urządzenie z Androidem?
Jak wspomniano wcześniej, Monokle został wykryty na urządzeniu po jego powrocie po przejęciu przez rosyjskie władze. Może on jednak rozprzestrzeniać się przy użyciu innych metod. Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez pobieranie drive-by, spam, oszustwa internetowe, złośliwe reklamy, podejrzane kanały pobierania (np. darmowe oprogramowanie i darmowe witryny hostujące pliki, sklepy z aplikacjami innych firm, sieci udostępniania P2P itp. Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner jest w stanie wykryć i wyeliminować większość znanych infekcji złośliwym oprogramowaniem. Należy podkreślić, że uruchomienie pełnego skanowania systemu jest najważniejsze, ponieważ wysokiej klasy złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję