Jak usunąć FireScam z urządzeń z Androidem
Napisany przez Tomasa Meskauskasa,
Czym jest FireScam?
FireScam to złośliwe oprogramowanie atakujące urządzenia z systemem Android. Aktorzy zagrożeń rozprzestrzeniają złośliwe oprogramowanie za pośrednictwem fałszywej aplikacji Telegram Premium na stronie phishingowej. FireScam infekuje urządzenia za pomocą droppera APK. Złośliwe oprogramowanie unika wykrycia i kradnie dane, korzystając z popularnych usług, takich jak Firebase. Należy go jak najszybciej wyeliminować z zainfekowanych urządzeń.
FireScam w szczegółach
Po infiltracji FireScam sprawdza aplikacje i szczegóły zainfekowanego urządzenia, takie jak model i wersja systemu, aby sprawdzić, czy znajduje się ono w kontrolowanym lub wirtualnym środowisku. Pomaga to uniknąć wykrycia, dostosować ataki i ominąć środki bezpieczeństwa w celu udanej operacji.
FireScam rejestruje usługę do obsługi powiadomień push Firebase. Po otrzymaniu wiadomości określone zdarzenie aktywuje usługę. Usługa ta może uruchamiać zdalne polecenia, dostarczać złośliwe ładunki i wysyłać poufne dane z urządzenia na zdalny serwer bez wiedzy ofiary.
Ponadto złośliwe oprogramowanie może uzyskać dostęp do aplikacji Wiadomości i przechwytywać zawartość wiadomości tekstowych. Funkcja ta umożliwia atakującym dostęp do prywatnych wiadomości i ich kradzież. Ponadto FireScam wykrywa, kiedy ekran urządzenia jest włączony lub wyłączony i rejestruje to zdarzenie wraz z nazwą aplikacji. Następnie wysyła te informacje do bazy danych Firebase, dając atakującym możliwość śledzenia aktywności urządzenia.
Złośliwe oprogramowanie wykorzystuje również usługę do śledzenia niektórych powiadomień na urządzeniu, takich jak alerty wiadomości. Ignoruje niektóre typy powiadomień, takie jak ciche. Aplikacje, które FireScam może atakować, to Telegram, Viber, VK i WhatsApp. FireScam atakuje również dane z innych aplikacji, takich jak aplikacja Telefon, Sklep Google Play i inne.
FireScam monitoruje wszystkie powiadomienia, które pasują do określonych filtrów, umożliwiając mu dostęp do poufnych informacji z dowolnej aplikacji. Prosi o pozwolenie na przeglądanie wszystkich powiadomień, umożliwiając przechwytywanie wiadomości, alertów połączeń i śledzenie działań, takich jak logowanie, co narusza prywatność.
Złośliwe oprogramowanie nasłuchuje odpowiedzi USSD (np. z usług mobilnych) i przechwytuje szczegóły, takie jak salda kont lub transakcje. Mając dostęp do SMS-ów i usług telefonicznych, może potajemnie śledzić działania USSD i kraść poufne dane.
Ponadto FireScam śledzi dane z różnych źródeł, takich jak wprowadzanie tekstu, dane autouzupełniania, schowek, akcje przeciągania i upuszczania oraz udostępnianie aplikacji. Zbiera poufne informacje, takie jak hasła lub wiadomości osobiste, i wysyła je na zdalny serwer. Monitorując, skąd pochodzą dane, może kierować określone informacje do kradzieży, działając jak oprogramowanie szpiegujące.
Złośliwe oprogramowanie sprawdza również, jak długo ekran pozostaje aktywny i rejestruje interakcje użytkownika. Monitorując aktywność użytkownika, złośliwe oprogramowanie może dowiedzieć się o korzystaniu z aplikacji i nawykach użytkownika, umożliwiając gromadzenie poufnych informacji w celu kierowania reklam, oszustw lub szpiegowania.
FireScam monitoruje również aktywność w handlu elektronicznym, sprawdzając określone zdarzenia, takie jak zakupy lub zwroty. Jeśli wykryje takie zdarzenia, rejestruje je, umożliwiając śledzenie zachowań użytkowników w aplikacjach zakupowych. Może to pomóc złośliwemu oprogramowaniu w gromadzeniu poufnych danych dotyczących transakcji i płatności.
Należy również zauważyć, że FireScam może pobierać obrazy z określonego adresu URL. Może to być wykorzystane do przesyłania danych lub dostarczania dodatkowych złośliwych ładunków (złośliwe oprogramowanie ukryte w obrazach). Może wykorzystywać Firebase Messaging lub inne kanały do odbierania tych obrazów, umożliwiając dalsze ataki.
| Nazwa | FireScam spyware |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, niechciana aplikacja. |
| Nazwy wykrywania | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Kerty.aAGC), ESET-NOD32 (Wariant Android/Spy.Agent.DVZ), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.bb), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Skradzione dane osobowe (prywatne wiadomości, loginy/hasła itp.), zmniejszona wydajność urządzenia, szybkie rozładowywanie baterii, zmniejszona prędkość Internetu, ogromne straty danych, straty pieniężne, skradziona tożsamość. |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Podsumowanie
Podsumowując, FireScam to wysoce wyrafinowane złośliwe oprogramowanie, które wykorzystuje różne taktyki do infiltracji i monitorowania zainfekowanych urządzeń. Jest to niebezpieczne i trwałe zagrożenie, które narusza prywatność, ułatwia kradzież danych i otwiera drzwi dla dodatkowych złośliwych działań.
Niektóre przykłady innego złośliwego oprogramowania dla Androida to NoviSpy, PlainGnome i BoneSpy.
Jak FireScam przeniknął na moje urządzenie?
Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem fałszywego pliku APK Telegram Premium na stronie phishingowej hostowanej na GitHub.io, która udaje sklep z aplikacjami RuStore. Witryna dostarcza dropper, który instaluje FireScam, który jest przebrany za aplikację Telegram Premium. Główny plik złośliwego oprogramowania, Telegram Premium.apk (ru.get.app), jest przeznaczony do infekowania urządzeń z systemem Android w wersjach od 8 do 15.
Dropper instaluje się jako aplikacja o nazwie GetAppsRu. Po otwarciu pokazuje opcję instalacji Telegram Premium. Po wyświetleniu ostrzeżenia o zabezpieczeniach instaluje na urządzeniu złośliwe oprogramowanie FireScam (o nazwie child.apk), udając aplikację Telegram Premium.
Jak uniknąć instalacji złośliwego oprogramowania?
Pobieraj aplikacje z zaufanych źródeł, takich jak oficjalne sklepy z aplikacjami (Google Play, Apple App Store) lub renomowane witryny internetowe. Używaj renomowanego oprogramowania antywirusowego do wykrywania i blokowania zagrożeń. Regularnie aktualizuj wszystkie aplikacje i system operacyjny. Nie klikaj linków ani nie otwieraj załączników w niechcianych wiadomościach e-mail lub wiadomościach, zwłaszcza od nieznanych nadawców.
Unikaj interakcji z wyskakującymi okienkami, reklamami, linkami, przyciskami itp. napotkanymi na podejrzanych stronach internetowych.
Zwodnicza strona internetowa promująca fałszywą aplikację Telegram Premium (źródło: cyfirma.com):
Monit instalacyjny FireScam (źródło: cyfirma.com):
Fałszywa aplikacja żąda uprawnień (źródło: cyfirma.com):
Fałszywe okno logowania do Telegrama (źródło: cyfirma.com):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź czynność, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie jest zainfekowane złośliwym oprogramowaniem FireScam, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie urządzenia pamięci masowej może usunąć złośliwe oprogramowanie, ale jest to drastyczny środek. Zanim się do tego uciekniesz, uruchom pełne skanowanie za pomocą zaufanego oprogramowania zabezpieczającego, takiego jak Combo Cleaner, aby sprawdzić, czy może wykryć i usunąć FireScam.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może prowadzić do utraty danych, kradzieży danych osobowych, awarii systemu, spowolnienia działania, nieautoryzowanego dostępu do poufnych plików, strat finansowych, kradzieży tożsamości i rozprzestrzeniania się dodatkowych infekcji.
Jaki jest cel FireScam?
FireScam został zaprojektowany do kradzieży cennych informacji, szpiegowania użytkowników i wykonywania dalszych złośliwych działań, pozostając niewykrytym na urządzeniu.
Jak FireScam przeniknął na moje urządzenie?
FireScam prawdopodobnie przeniknął do twojego urządzenia poprzez fałszywą aplikację "Telegram Premium" pobraną ze strony phishingowej. Aplikacja działa jak dropper, instalując złośliwe oprogramowanie i żądając uprawnień dostępu do poufnych danych, takich jak wiadomości i powiadomienia. Następnie komunikuje się ze zdalnym serwerem w celu kradzieży informacji i śledzenia aktywności użytkownika.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykryć i usunąć prawie wszystkie znane infekcje złośliwym oprogramowaniem. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego zaleca się uruchomienie pełnego skanowania systemu, aby zapewnić całkowite usunięcie.
Znakomita!
▼ Pokaż dyskusję