Jak usunąć G700 RAT (trojana zdalnego dostępu) z Androida
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest G700?
G700 to trojan zdalnego dostępu (RAT) z wersjami napisanymi w językach programowania Java i C#. To złośliwe oprogramowanie atakujące Androida jest zaawansowanym wariantem CraxsRAT. G700 to wielofunkcyjny program z rozległymi możliwościami kradzieży danych, szpiegowania i kradzieży finansowej.
Przegląd złośliwego oprogramowania G700
G700 to wysokiej klasy RAT i podobnie jak większość złośliwych programów atakujących urządzenia z Androidem, wykorzystuje usługi ułatwień dostępu do swoich nikczemnych celów. Usługi ułatwień dostępu w systemie Android zapewniają dodatkową pomoc w interakcji z urządzeniem (np. odczytywanie ekranu, symulowanie ekranu dotykowego/klawiatury itp.) użytkownikom, którzy jej potrzebują. Dlatego nadużywając tych usług, złośliwe oprogramowanie zyskuje wszystkie ich możliwości.
G700 eskaluje swoje uprawnienia i wykorzystuje różne uprawnienia (np. do przechowywania danych na urządzeniu, lokalizacji, kontaktów, SMS-ów, połączeń itp. Trojan może ominąć niektóre procesy rozwiązań antywirusowych, unikając w ten sposób wykrycia.
Jak wspomniano we wstępie, RAT ma wiele funkcji. G700 może zbierać informacje o zainfekowanym urządzeniu (w tym dane geolokalizacyjne), a także zarządzać i kraść pliki ofiar. Posiada funkcje typu spyware, takie jak nagrywanie wideo za pomocą przedniej i tylnej kamery oraz dźwięku za pomocą mikrofonu, a nawet może transmitować na żywo ekran urządzenia.
Trojan może zarządzać kontaktami, połączeniami i wiadomościami tekstowymi. Jest w stanie przechwytywać wiadomości SMS i ukrywać je; jest to szczególnie przydatne do gromadzenia danych, takich jak OTP (hasła jednorazowe) i kody 2FA/MFA (uwierzytelnianie dwu-/wieloskładnikowe). Ponieważ program ten może wysyłać wiadomości tekstowe i wykonywać połączenia, może być wykorzystywany jako złośliwe oprogramowanie Toll Fraud - chociaż nie ma dowodów na to, że został użyty w ten sposób.
Dodatkowo, G700 posiada zdolność keyloggingu (tj. może rejestrować naciśnięcia klawiszy). Innym sposobem, w jaki ten RAT gromadzi dane, jest stosowanie ataków nakładkowych, tj. wykorzystywanie ekranów phishingowych, które wydają się identyczne z ekranami legalnych aplikacji do rejestrowania poufnych informacji.
W ten sposób G700 może kraść dane logowania do różnych kont i numery kart kredytowych - które ofiary same wprowadzają do interfejsów, które uważają za interfejsy prawdziwych usług/oprogramowania. Wiadomo, że trojan ten został wykorzystany do uruchomienia ataków typu overlay w celu uzyskania informacji związanych z platformami e-commerce (sklepami internetowymi), wiadomościami e-mail, aplikacjami bankowymi i portfelami kryptowalut.
G700 ma również funkcję podobną do clipperów. W trwających transakcjach może zastępować adresy kryptowalut odbiorców adresami należącymi do cyberprzestępców - a gdy ta aktywność jest w toku, złośliwe oprogramowanie może wyświetlać fałszywą stronę Binance.
RAT może ukrywać swoje działania, prezentując fałszywy ekran aktualizacji oprogramowania, który uniemożliwia jakąkolwiek interakcję użytkownika. Co więcej, G700 może być wykorzystywany do wdrażania oprogramowania ransomware na urządzeniu ofiary.
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. W związku z tym potencjalne przyszłe iteracje G700 mogą mieć dodatkowe lub inne funkcje i cechy.
Podsumowując, obecność oprogramowania takiego jak G700 na urządzeniach może prowadzić do wielu infekcji systemu, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | G700 malware |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, trojan zdalnego dostępu, narzędzie zdalnej administracji, RAT. |
| Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.SpyMax.37.origin), ESET-NOD32 (Wariant Android/Spy.SpyMax.T), Kaspersky (HEUR:Trojan-Spy.AndroidOS.SpyNote.bv), Pełna lista (VirusTotal) |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady trojanów zdalnego dostępu
BingoMod, Rafel, Joker i VajraSpy to tylko niektóre z naszych najnowszych artykułów na temat RAT specyficznych dla Androida. Trojany zdalnego dostępu są zwykle niezwykle wszechstronnymi narzędziami, z funkcjami od szpiegowania po kradzież danych.
Jednak niezależnie od tego, jak działa złośliwe oprogramowanie, jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak G700 przeniknął na moje urządzenie?
Zauważono, że G700 jest promowany przez jego twórców za pośrednictwem wielu kanałów, takich jak GitHub, Telegram i TikTok. Ci cyberprzestępcy oferują swoje złośliwe produkty za darmo i na sprzedaż. Ponieważ G700 może być w posiadaniu różnych grup i osób, sposób jego rozprzestrzeniania może się znacznie różnić.
Zaobserwowano, że ten RAT jest rozprzestrzeniany za pośrednictwem fałszywych stron Sklepu Google Play. Jednak inne metody nie są wykluczone. Złośliwe oprogramowanie jest zwykle ukryte lub dołączone do zwykłych programów/mediów. Techniki phishingu i inżynierii społecznej są standardem w dystrybucji złośliwego oprogramowania.
Powszechne metody rozprzestrzeniania obejmują: pobieranie drive-by download, oszustwa internetowe, niezaufane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), złośliwe załączniki/linki w spamie (np. wiadomości e-mail, SMS-y, wiadomości PM/DM, posty w mediach społecznościowych itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem przed pobraniem/zakupem, czytając warunki i recenzje ekspertów/użytkowników, sprawdzając niezbędne uprawnienia, weryfikując legalność dewelopera itp. Wszystkie pliki do pobrania muszą pochodzić z oficjalnych i godnych zaufania kanałów. Oprogramowanie musi być aktywowane i aktualizowane przy użyciu funkcji/narzędzi dostarczanych przez prawdziwych programistów, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Innym zaleceniem jest zachowanie czujności podczas przeglądania Internetu, ponieważ jest on pełen fałszywych i niebezpiecznych treści. Do przychodzących e-maili i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych wiadomościach, ponieważ mogą one być złośliwe.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń/problemów.
Zrzut ekranu panelu administracyjnego G700 RAT (źródło obrazu - Cyfirma):
Zrzut ekranu G700 RAT promowany na GitHub:
Zrzut ekranu G700 RAT promowany na Telegramie:
Zrzut ekranu z konta TikTok dewelopera G700 RAT:
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem G700, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usunięcie złośliwego oprogramowania nie wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie G700?
Konkretne zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i celów cyberprzestępców. G700 to wielofunkcyjny trojan zdalnego dostępu (RAT), który może być wykorzystywany do wykonywania różnych działań, w tym kradzieży kont online, gromadzenia informacji finansowych, szpiegowania, wdrażania oprogramowania ransomware itp. Obecność tego oprogramowania na urządzeniu może skutkować wieloma infekcjami systemu, poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości.
Jaki jest cel złośliwego oprogramowania G700?
Celem większości ataków złośliwego oprogramowania jest zysk. Przyczyną infekcji może być jednak również poszukiwanie rozrywki przez atakujących, osobiste urazy, zakłócanie procesów (np. stron internetowych, usług itp.), haktywizm oraz motywacje polityczne/geopolityczne.
W jaki sposób złośliwe oprogramowanie G700 infiltrowało moje urządzenie z Androidem?
G700 rozprzestrzeniał się głównie za pośrednictwem fałszywych stron Sklepu Play, ale inne metody nie są wykluczone. Złośliwe oprogramowanie jest rozpowszechniane głównie poprzez pobieranie drive-by, oszustwa internetowe, wiadomości e-mail/wiadomości spamowe, wątpliwe źródła pobierania (np. nieoficjalne i bezpłatne witryny hostujące pliki, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), fałszywe aktualizacje i nielegalne narzędzia do aktywacji oprogramowania ("cracking"). Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner jest w stanie wykryć i wyeliminować prawie wszystkie znane infekcje złośliwym oprogramowaniem. Pamiętaj, że wykonanie pełnego skanowania systemu jest niezbędne, ponieważ wyrafinowane złośliwe programy zazwyczaj ukrywają się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję