Jak wyeliminować oprogramowanie szpiegujące BoneSpy z urządzenia z Androidem
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest BoneSpy?
BoneSpy to oprogramowanie szpiegujące ukierunkowane na system Android, które istnieje od co najmniej 2021 roku. Ten złośliwy program wywodzi się z rosyjskiego oprogramowania do inwigilacji DroidWatcher o otwartym kodzie źródłowym.
BoneSpy jest powiązany z rosyjskim aktorem zagrożeń o nazwie Gamaredon (aka Primitive Bear i Shuckworm). Grupa ta jest powiązana z FSB (Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej). Złośliwe oprogramowanie BoneSpy było wykorzystywane w atakach ukierunkowanych głównie na rosyjskojęzycznych użytkowników w krajach byłego ZSRR, w tym w Kazachstanie, Kirgistanie, Tadżykistanie i Uzbekistanie.
Przegląd złośliwego oprogramowania BoneSpy
BoneSpy istnieje od co najmniej 2021 roku; w tym czasie pojawiło się wiele odmian tego złośliwego oprogramowania. Program ten jest klasyfikowany jako oprogramowanie szpiegujące i jako taki może rejestrować i eksfiltrować różne poufne dane z zainfekowanych urządzeń z systemem Android. Niektóre wersje posiadają wszystkie funkcje wymienione w tym artykule, podczas gdy inne mają tylko wybrane.
Po pomyślnej instalacji BoneSpy wykorzystuje swoje możliwości antyanalityczne. Jeśli testy zweryfikują, że system nie jest emulowany, zaczyna zbierać dane urządzenia, np. IMEI (International Mobile Equipment Identity), karty SIM, dane operatora komórkowego, dane systemu plików, listę zainstalowanych aplikacji itp.
To złośliwe oprogramowanie próbuje uzyskać dostęp roota. Oprogramowanie szpiegujące gromadzi dane geolokalizacyjne i może włączyć śledzenie GPS, aby uzyskać dostęp do tych danych. BoneSpy ma znaczące możliwości zarządzania połączeniami i SMS-ami.
Uzyskuje szczegółowe informacje dotyczące kontaktów (tj. nazwy, numery telefonów, adresy e-mail), dzienników połączeń (tj. typ - przychodzące/wychodzące, nazwy dzwoniących, numery telefonów, daty, czas trwania) oraz przychodzących/wychodzących wiadomości SMS (tj. nazwy odbiorców, data/godzina, treść wiadomości). Program może również wykonywać i nagrywać połączenia, a także wysyłać i blokować przychodzące wiadomości SMS. BoneSpy może nagrywać dźwięk w ogóle, niezależnie od tego, czy trwa rozmowa telefoniczna.
To złośliwe oprogramowanie jest w stanie robić zrzuty ekranu i zdjęcia za pośrednictwem kamer urządzenia. Inne dane, które to oprogramowanie szpiegujące może eksfiltrować, obejmują pliki ofiar, zawartość schowka, powiadomienia, historię przeglądania i wydarzenia z kalendarza. Ponadto złośliwy program może włączać/wyłączać Wi-Fi i usuwać pliki zapisane na karcie SD.
Gromadzi również dane oprogramowania/konta (w tym tokeny uwierzytelniające) Facebooka, Imo.im, Mail.ru, Odnoklassniki, Telegram, Telegram Plus (Plus Messenger), Viber, VKontakte i WhatsApp. Jedną z osobliwych cech tego oprogramowania jest możliwość otrzymywania poleceń za pośrednictwem wiadomości SMS.
Warto wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje kreacje i metodologie. Dlatego potencjalne przyszłe warianty BoneSpy mogą mieć dodatkowe/różne funkcje.
Podsumowując, obecność oprogramowania takiego jak BoneSpy na urządzeniach może prowadzić do utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | BoneSpy malware |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, oprogramowanie szpiegujące. |
| Nazwy detekcji | Avast-Mobile (APK:RepMalware [Trj]), DrWeb (Android.Backdoor.850.origin), ESET-NOD32 (Wariant Android/Spy.Agent.CAF), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania typu spyware
Monokle, AwSpy i Mandrake to tylko kilka z naszych najnowszych artykułów na temat oprogramowania szpiegującego, którego celem są urządzenia z systemem Android. Oprogramowanie wykradające dane (np. oprogramowanie szpiegujące, kradnące, keyloggery itp.) jest niezwykle rozpowszechnione i często jest używane w połączeniu z innymi rodzajami złośliwych programów.
Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak BoneSpy przeniknął do mojego urządzenia?
BoneSpy rozprzestrzenia się pod różnymi postaciami i za pośrednictwem trojanów. Znane z nich obejmują monitory baterii, aplikacje galerii, rzekome komunikatory Telegram w wersji "beta" oraz aplikację do zarządzania urządzeniami mobilnymi Samsung Knox Manage.
Ze względu na powszechne wykorzystanie Samsung Knox Manage przez przedsiębiorstwa, sugeruje to, że BoneSpy jest wykorzystywany do atakowania dużych podmiotów. Należy wspomnieć, że to oprogramowanie szpiegujące może rozprzestrzeniać się pod innymi przebraniami i przy użyciu różnych metod.
Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozpowszechniane za pomocą phishingu i inżynierii społecznej. Popularne techniki obejmują: pobieranie drive-by (ukradkowe/zwodnicze), wątpliwe źródła pobierania (np. darmowe oprogramowanie i darmowe witryny hostujące pliki, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), złośliwe reklamy, złośliwe załączniki/linki w spamie (np. e-maile, SMS-y, wiadomości DM/PM itp.), oszustwa internetowe, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zachowanie ostrożności podczas przeglądania, ponieważ Internet jest pełen zwodniczych i złośliwych treści. Należy ostrożnie podchodzić do przychodzących e-maili, wiadomości DM/PM, SMS-ów i innych wiadomości. Nie wolno otwierać załączników ani linków znajdujących się w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być zakaźne.
Innym zaleceniem jest pobieranie tylko z oficjalnych i zweryfikowanych źródeł. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu funkcji/narzędzi dostarczanych przez prawdziwych programistów, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Kluczowe znaczenie dla bezpieczeństwa urządzenia/użytkownika ma posiadanie zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń/problemów.
Oprogramowanie szpiegujące BoneSpy zamaskowane jako aplikacja Samsung Knox Manage (źródło obrazu - Lookout):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem BoneSpy, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie BoneSpy?
Zagrożenia stwarzane przez infekcję zależą od możliwości złośliwego oprogramowania i sposobu działania cyberprzestępców. BoneSpy został zaprojektowany do szpiegowania swoich ofiar poprzez zbieranie poufnych informacji. Ogólnie rzecz biorąc, infekcje tego rodzaju mogą prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania BoneSpy?
BoneSpy jest powiązany z aktorem zagrożeń powiązanym z Federalną Służbą Bezpieczeństwa Rosji (FSB). To oprogramowanie szpiegujące było wykorzystywane w atakach motywowanych geopolitycznie. Oprócz infekcji spowodowanych takim rozumowaniem, inne typowe motywacje ataków złośliwego oprogramowania obejmują rozrywkę, osobiste zemsty, zakłócanie procesów (np. stron internetowych, usług itp.) oraz haktywizm.
Jak złośliwe oprogramowanie BoneSpy przeniknęło do mojego urządzenia z Androidem?
BoneSpy rozprzestrzenia się pod przykrywką różnych programów i za pośrednictwem trojanów (np. menedżerów baterii, aplikacji galerii, Telegram, Samsung Knox Manage itp.) Inne przebrania nie są mało prawdopodobne.
Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozpowszechniane poprzez pobieranie drive-by, oszustwa internetowe, spam, podejrzane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), złośliwe reklamy, nielegalne narzędzia aktywacyjne ("cracki") i fałszywe aktualizacje. Niektóre złośliwe programy mogą nawet samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner może wykryć i wyeliminować praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że wykonanie pełnego skanowania systemu jest najważniejsze, ponieważ wysokiej klasy złośliwe oprogramowanie ma tendencję do ukrywania się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję