Jak usunąć złośliwe oprogramowanie NoviSpy z urządzenia z systemem Android
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest NoviSpy?
NoviSpy to złośliwy program atakujący urządzenia z systemem Android. Jest klasyfikowany jako spyware - rodzaj złośliwego oprogramowania zaprojektowanego do ukradkowego nadzoru i kradzieży danych.
Aktywność NoviSpy została powiązana z serbską Agencją Wywiadu Bezpieczeństwa (BIA). W ciągu ostatnich kilku lat to oprogramowanie szpiegujące zostało wykorzystane do zainfekowania dziesiątek, a nawet setek urządzeń. NoviSpy był wykorzystywany do atakowania dziennikarzy i aktywistów.
Przegląd złośliwego oprogramowania NoviSpy
Metoda używana do infiltracji NoviSpy do urządzeń jest interesująca i została szczegółowo opisana poniżej. Podobnie jak większość złośliwych programów ukierunkowanych na system Android, NoviSpy nadużywa usług ułatwień dostępu. Usługi ułatwień dostępu w systemie Android zostały zaprojektowane w celu zapewnienia dodatkowej pomocy w interakcji z urządzeniem użytkownikom, którzy jej potrzebują. Mają one różne możliwości (np. odczytywanie ekranu, symulowanie ekranu dotykowego itp.), które złośliwe oprogramowanie następnie uzyskuje i może dowolnie wykorzystywać.
NoviSpy jest instalowany na poziomie jądra. To oprogramowanie szpiegujące może wyodrębniać listy kontaktów, wiadomości SMS i dzienniki połączeń. Może również pobierać pliki z urządzeń ofiar. Program ten gromadzi również dane geolokalizacyjne. NoviSpy może nagrywać audio i wideo za pośrednictwem mikrofonu i kamer urządzenia.
Ponadto złośliwe oprogramowanie NoviSpy może wyodrębniać zrzuty ekranu z różnych aplikacji, takich jak klienci poczty e-mail i komunikatory (np. WhatsApp, Signal itp.).
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego potencjalne przyszłe iteracje NoviSpy mogą mieć dodatkowe/różne funkcje i cechy.
Podsumowując, obecność oprogramowania takiego jak NoviSpy na urządzeniach może skutkować poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości. Ponieważ to oprogramowanie szpiegujące było używane z powodów politycznych i geopolitycznych, zagrożenia z nim związane mogą być jeszcze większe.
| Nazwa | NoviSpy spyware |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, oprogramowanie szpiegujące. |
| Nazwy wykrywania | Avast-Mobile (Android:Evo-gen [Trj]), ESET-NOD32 (Wariant Android/Spy.NoviSpy.A), Ikarus (Trojan-Spy.AndroidOS.Novispy), WithSecure (Malware.ANDROID/NoviSpy.FSQL.Gen), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania typu spyware
Pisaliśmy o wielu złośliwych programach; PlainGnome, BoneSpy i Monokle to tylko kilka przykładów złośliwego oprogramowania z funkcjami szpiegującymi.
Oprogramowanie szpiegujące często posiada funkcje wykradania danych, ale może mieć również inne zdolności, takie jak rejestrowanie naciśnięć klawiszy lub powodowanie infekcji łańcuchowych. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać usunięte natychmiast po wykryciu.
Jak NoviSpy przeniknął do mojego urządzenia?
Jak wspomniano we wstępie, NoviSpy został powiązany z Agencją Wywiadu Bezpieczeństwa (BIA) Serbii. Został on wykryty na smartfonie zwróconym właścicielowi - dziennikarzowi - po oddaniu go serbskiej policji.
W tym przypadku analitycy odkryli, że zainfekowane urządzenie zostało odblokowane za pomocą oprogramowania do ekstrakcji danych Cellebrite. Zostało ono użyte do wykorzystania luki zero-day w produktach Qualcomm. Jedna z wykorzystanych luk jest śledzona jako "CVE-2024-43047" i została już załatana.
Inne luki w zabezpieczeniach Qualcomm, które można wykorzystać, to "CVE-2024-38402", "CVE-2024-21455", "CVE-2024-33060" i "CVE-2024-49848". Spekuluje się, że NoviSpy może infiltrować urządzenia poprzez łańcuch exploitów, w którym wiele luk jest wykorzystywanych do wprowadzenia złośliwego oprogramowania do systemów.
NoviSpy został jednak wykorzystany do zainfekowania znacznej liczby urządzeń z Androidem, być może nawet setek. Celami byli między innymi dziennikarze, obrońcy praw człowieka i protestujący. Chociaż NoviSpy został wstrzyknięty do systemów poprzez fizyczną konfiskatę telefonu, nie jest to jedyna technika wykorzystywana do jego rozprzestrzeniania.
Jedną z podejrzewanych metod jest wykorzystanie luki "zero-click" (bez interakcji) poprzez połączenia telefoniczne wykonywane przez nieprawidłowe numery telefonów z nadmierną liczbą cyfr.
Jeśli chodzi o ogólnie stosowane techniki dystrybucji złośliwego oprogramowania, standardem jest phishing i socjotechnika. Powszechne metody obejmują pobieranie drive-by, złośliwe załączniki/linki w spamie (np. e-maile, wiadomości PM/DM, SMS-y, posty w mediach społecznościowych itp.), oszustwa internetowe, złośliwe reklamy, pirackie programy/media, podejrzane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Niektóre złośliwe programy mogą nawet samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.). Złośliwe oprogramowanie jest często ukryte lub dołączone do zwykłej zawartości.
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem przed pobraniem/zakupem, czytając warunki i recenzje ekspertów/użytkowników, sprawdzając niezbędne uprawnienia, weryfikując legalność dewelopera itp. Wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Ponadto oprogramowanie musi być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ te pozyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Innym zaleceniem jest zachowanie ostrożności podczas przeglądania stron internetowych, ponieważ oszukańcze i złośliwe treści online zazwyczaj wyglądają na autentyczne i nieszkodliwe. Do przychodzących e-maili i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znajdujących się w podejrzanych/nieistotnych wiadomościach, ponieważ mogą one być złośliwe.
Zainstalowanie i aktualizowanie renomowanego programu antywirusowego ma zasadnicze znaczenie dla bezpieczeństwa urządzenia/użytkownika. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem NoviSpy, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie NoviSpy?
Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i sposobu działania atakujących. NoviSpy to oprogramowanie szpiegujące, które może szpiegować ofiary i kraść ich dane.
Ogólnie rzecz biorąc, oprogramowanie tego rodzaju może powodować poważne problemy z prywatnością, straty finansowe i kradzież tożsamości. NoviSpy był jednak wykorzystywany przez serbską Agencję Wywiadu Bezpieczeństwa (BIA) do atakowania dziennikarzy i aktywistów; dlatego zakres tych infekcji może mieć większe konsekwencje.
Jaki jest cel złośliwego oprogramowania NoviSpy?
Infekcje NoviSpy wynikają z motywacji politycznych i geopolitycznych. Złośliwe oprogramowanie jest jednak wykorzystywane do różnych celów. Najczęstszym powodem jest zysk finansowy. Inne motywacje obejmują cyberprzestępców szukających rozrywki lub realizujących osobiste urazy, zakłócanie procesów (np. stron internetowych, usług, firm itp.) oraz haktywizm.
Jak złośliwe oprogramowanie NoviSpy przeniknęło do mojego urządzenia z Androidem?
Wiadomo, że NoviSpy został wprowadzony bezpośrednio do urządzenia po jego zatrzymaniu przez serbską policję. Inną podejrzewaną metodą rozprzestrzeniania jest exploit wykorzystujący lukę zero-click, inicjowany przez połączenia wykonywane z nieprawidłowych numerów z wieloma cyframi.
Może on być jednak rozprzestrzeniany przy użyciu innych technik. Te szeroko stosowane obejmują niezaufane źródła pobierania (np. darmowe oprogramowanie i darmowe witryny hostujące pliki, sieci udostępniania Peer-to-Peer, sklepy z aplikacjami innych firm itp.), złośliwe reklamy, spam, oszustwa internetowe, pobieranie drive-by, pirackie treści, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner został zaprojektowany do skanowania urządzeń i usuwania wszelkiego rodzaju zagrożeń. Jest w stanie wykryć i wyeliminować większość znanych infekcji złośliwym oprogramowaniem. Pamiętaj, że wykonanie pełnego skanowania systemu jest kluczowe, ponieważ wyrafinowane złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję