Jak wyeliminować AppLite Banker z zainfekowanych urządzeń
Napisany przez Tomasa Meskauskasa,
Czym jest AppLite Banker?
AppLite Banker (zaktualizowany wariant Antidota) to trojan bankowy atakujący użytkowników Androida. Cyberprzestępcy dostarczają złośliwe oprogramowanie za pośrednictwem poczty elektronicznej, nakłaniając ofiary do pobrania fałszywych aplikacji. Po wstrzyknięciu AppLite Banker umożliwia atakującym wykonywanie różnych złośliwych działań, w tym kradzieży danych.
AppLite Banker w szczegółach
Po pierwszym otwarciu fałszywa aplikacja wyświetla ekran logowania, na którym użytkownicy są nakłaniani do utworzenia nowego konta za pośrednictwem strony phishingowej. Po utworzeniu konta aplikacja wyświetla pusty pulpit nawigacyjny bez żadnych funkcji. Przy późniejszych uruchomieniach zmusza użytkowników do zainstalowania "aktualizacji", która w rzeczywistości jest AppLite Banker.
Kliknięcie przycisku "Aktualizuj" uruchamia fałszywą ikonę Sklepu Google Play i instaluje złośliwe oprogramowanie. Następnie złośliwa aplikacja żąda uprawnień Usług dostępności, których nadużywa do nakładania ekranu, przyznawania sobie uprawnień i wykonywania innych szkodliwych działań. Po uzyskaniu wymaganych uprawnień złośliwe oprogramowanie łączy się z serwerem Command and Control (C&C).
Tworzy to kanał komunikacyjny, umożliwiający atakującemu kontrolowanie zainfekowanego urządzenia i wysyłanie poleceń. Obsługiwane polecenia obejmują odblokowywanie urządzenia, uruchamianie określonych aplikacji, zbieranie wiadomości SMS, przekazywanie połączeń, zwiększanie i zmniejszanie jasności okien nakładek, zapobieganie odinstalowywaniu złośliwego oprogramowania i zatrzymywanie kamery.
AppLite Banker może również wyświetlać różne nakładki (np. puste czarne okno, fałszywe aktualizacje systemu lub okno ładowania) i zatrzymywać je. Co więcej, złośliwe oprogramowanie umożliwia podmiotom stanowiącym zagrożenie otwieranie ustawień "Weryfikuj aplikacje" w sklepie Google Play, usuwanie fałszywej aplikacji i samego złośliwego oprogramowania, gromadzenie listy zainstalowanych aplikacji, przechwytywanie naciśnięć klawiszy i wysyłanie powiadomień push.
Oprócz tych funkcji AppLite Banker może blokować połączenia z określonych numerów, inicjować VNC i wysyłać zawartość VNC, zbierać kontakty, otwierać aparat i przesyłać przechwycone zdjęcia, wysyłać wiadomości SMS, publikować fałszywe alerty logowania, kraść wzorce, kody PIN lub hasła do odblokowania urządzenia i nie tylko.
Trojan atakuje ponad sto aplikacji, w tym platformy finansowe i portfele kryptowalutowe, wykorzystując zaawansowane narzędzia do kontrolowania funkcji urządzenia i kradzieży poufnych informacji. Obsługiwane polecenia umożliwiają atakującym wyświetlanie fałszywych formularzy logowania i innych okien w celu kradzieży danych logowania i innych poufnych informacji.
AppLite Banker unika wykrycia poprzez manipulowanie plikami ZIP w celu zmylenia narzędzi bezpieczeństwa i osadzanie złośliwych skryptów w nakładkach HTML. Techniki te pomagają mu uniknąć wykrycia przez standardowe narzędzia analityczne.
| Nazwa | Trojany bankowe AppLite |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja, trojan bankowy |
| Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.Marcher.AZ), ESET-NOD32 (Wiele wykryć), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.df), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Zwodnicze wiadomości e-mail, fałszywe strony internetowe, fałszywe aplikacje. |
| Szkody | Skradzione dane osobowe (prywatne wiadomości, loginy/hasła itp.), zmniejszona wydajność urządzenia, szybkie rozładowywanie baterii, zmniejszona prędkość Internetu, ogromne straty danych, straty pieniężne, skradziona tożsamość. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Podsumowanie
Podsumowując, AppLite Banker to wyrafinowany trojan bankowy zaprojektowany do kradzieży poufnych informacji i wykonywania innych złośliwych zadań. Przebierając się za legalną aplikację, wykorzystując taktykę phishingu i nadużywając uprawnień urządzenia, uzyskuje niemal pełną kontrolę nad zainfekowanymi urządzeniami.
Użytkownicy powinni zachować czujność, unikać instalowania niezaufanych aplikacji i niezwłocznie aktualizować środki bezpieczeństwa w celu ochrony przed takim złośliwym oprogramowaniem. Więcej przykładów złośliwego oprogramowania na Androida to Monokle, DroidBot i ToxicPanda.
Jak AppLite Banker przeniknął na moje urządzenie?
Atakujący podszywa się pod przedstawiciela działu HR znanej firmy, wysyłając fałszywe wiadomości e-mail z ofertami pracy. Ofiary są przekierowywane na złośliwą stronę, aby kontynuować aplikację lub umówić się na rozmowę kwalifikacyjną. Strona ta nakłania ich do pobrania szkodliwej aplikacji. Po zainstalowaniu aplikacja dostarcza trojana AppLite do urządzenia.
Wiadomo, że cyberprzestępcy wykorzystywali znane firmy, takie jak Euskatel, Eminic, Distributel i Oasis, aby zwabić ofiary do pobrania szkodliwych aplikacji (np. fałszywej aplikacji EmployeesCRM) zaprojektowanych w celu upuszczenia AppLite Banker.
Jak uniknąć instalacji złośliwego oprogramowania?
Pobieraj aplikacje tylko z zaufanych źródeł, takich jak Google Play i oficjalne strony internetowe. Przed zainstalowaniem aplikacji sprawdź opinie i oceny użytkowników pod kątem wszelkich oznak podejrzanej aktywności. Używaj zaufanego mobilnego programu antywirusowego do wykrywania i blokowania złośliwego oprogramowania. Aktualizuj swoje urządzenie z Androidem i aplikacje.
Unikaj klikania reklam, wyskakujących okienek lub podobnych elementów na podejrzanych stronach internetowych. Nie otwieraj plików ani linków w podejrzanych wiadomościach e-mail, wiadomościach tekstowych lub wiadomościach otrzymanych w mediach społecznościowych.
Zwodnicze strony internetowe dystrybuujące fałszywe aplikacje, które upuszczają AppLite Banker (źródło: zimperium.com):
Układ wyświetlany po uruchomieniu fałszywej aplikacji (źródło: zimperium.com):
Layout wyświetlany po instalacji (źródło: zimperium.com):
Ataki nakładkowe wykonywane przez AppLite Banker (źródło: zimperium.com):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie jest zainfekowane złośliwym oprogramowaniem AppLite Banker, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie urządzenia jest niezawodną opcją, ale spowoduje usunięcie wszystkich danych. Przed sformatowaniem użyj zaufanego programu antywirusowego lub aplikacji chroniącej przed złośliwym oprogramowaniem, takiej jak Combo Cleaner, aby przeskanować i wyczyścić urządzenie.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może powodować zagrożenie prywatności, szyfrować pliki i dostarczać dodatkowych zagrożeń. Może również powodować kradzież tożsamości, straty finansowe i spowolnienie działania systemu.
Jaki jest cel złośliwego oprogramowania AppLite Banker?
AppLite Banker może wykradać poufne informacje, takie jak dane logowania, dane finansowe i dane osobowe, podszywając się pod legalne aplikacje. Atakuje użytkowników aplikacji bankowych, finansowych i kryptowalutowych, często używając fałszywych formularzy logowania. Posiada zestaw dodatkowych możliwości (więcej na ten temat w naszym artykule powyżej).
Jak złośliwe oprogramowanie AppLite Banker przeniknęło na moje urządzenie?
AppLite Banker prawdopodobnie przeniknął na Twoje urządzenie za pośrednictwem wiadomości e-mail lub wiadomości phishingowej, nakłaniając Cię do pobrania fałszywej aplikacji. Po zainstalowaniu aplikacja wdrożyła AppLite Banker.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego ważne jest, aby uruchomić pełne skanowanie systemu.
Znakomita!
▼ Pokaż dyskusję