Jak usunąć złośliwe oprogramowanie NGate z urządzenia z Androidem
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest NGate?
NGate to złośliwe oprogramowanie przeznaczone dla systemu Android. Celem tego oprogramowania jest umożliwienie cyberprzestępcom dokonywania wypłat z bankomatów na kontach bankowych ofiar. Jednak technika wykorzystywana przez NGate do ułatwienia tej działalności może być wykorzystywana do innych złośliwych celów.
W chwili pisania tego tekstu złośliwe oprogramowanie było wykorzystywane do atakowania klientów trzech czeskich banków, w tym Czech Raiffeisenbank i ČSOB (Československá obchodní banka). Wykryto sześć wariantów NGate, z których każdy został zamaskowany tak, aby pasował do docelowego banku. Jedna osoba powiązana z tą kampanią została aresztowana podczas wypłacania środków z bankomatów w Pradze.
Przegląd złośliwego oprogramowania NGate
NGate infiltruje urządzenia z Androidem poprzez kampanie smishingowe (SMS phishing), które w dużej mierze opierają się na taktykach socjotechnicznych. Po otwarciu złośliwe oprogramowanie wyświetla ofierze fałszywą stronę bankową. NGate opiera się na PWA lub WebAPK do tworzenia aplikacji imitujących; więcej na temat tej techniki można przeczytać w naszym artykule na temat złośliwego oprogramowania Spy.Banker.
Oszukańcza strona prosi odbiorcę o wprowadzenie danych i włączenie funkcji NFC na swoim urządzeniu. Docelowe informacje mogą obejmować dane logowania do konta bankowego ofiary, datę urodzenia oraz numer PIN karty debetowej/kredytowej. NFC (Near-Field Communication) to protokół, którego NGate nadużywa w celu ułatwienia wypłat z bankomatów.
Ten protokół komunikacyjny służy do przesyłania danych między dwoma urządzeniami. Złośliwe oprogramowanie wykorzystuje narzędzie o nazwie NFCGate do przekazywania sygnałów NFC za pośrednictwem serwera do urządzenia z Androidem atakującego, które jest przygotowane do naśladowania telefonu ofiary. Poprzez społecznie zaprojektowaną komunikację ofiara jest instruowana, aby umieścić swoją kartę bankową na telefonie.
Zasadniczo jest to proces łączenia karty ze smartfonem, co umożliwiłoby użytkownikowi dokonywanie płatności zbliżeniowych za pomocą telefonu. To, co robi NGate, to wysyłanie tych danych NFC do urządzenia atakującego, łącząc w ten sposób kartę z nim. Cyberprzestępca może użyć telefonu z emulowaną kartą bankową, aby wypłacić pieniądze ofiary za pośrednictwem bankomatu. Warto zauważyć, że NGate można również wykorzystać do zmiany limitu wypłat ustawionego na karcie / koncie.
Jeśli metoda NFC zawiedzie, złośliwe oprogramowanie ma protokół zapasowy, w którym środki są przelewane na inne konto bankowe. Jest to mniej pożądany scenariusz, ponieważ przelewy bankowe są bardziej identyfikowalne.
Jak wspomniano we wstępie, NGate i jego zdolność do nadużywania sygnałów NFC w celu naśladowania telefonu ofiary (i powiązanych treści) mogą być wykorzystywane do różnych nikczemnych czynów. Warto również zauważyć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego też potencjalne przyszłe warianty NGate mogą mieć dodatkowe/różne możliwości lub być wykorzystywane do innych celów.
Podsumowując, obecność oprogramowania takiego jak NGate na urządzeniach może skutkować poważnymi kwestiami prywatności, znacznymi stratami finansowymi i kradzieżą tożsamości.
| Nazwa | NGate virus |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja |
| Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Banker.NGate.1.origin), ESET-NOD32 (Android/Spy.NGate.B), Kaspersky (HEUR:Trojan-Banker.AndroidOS.NGate.a), Pełna lista (VirusTotal) |
| Objawy | Złośliwe oprogramowanie jest zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Spam SMS, zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania dla systemu Android
Pisaliśmy o niezliczonych złośliwych programach; LianSpy, BlankBot, BingoMod i GuardZoo to tylko kilka przykładów tych ukierunkowanych na systemy operacyjne Android.
Złośliwe oprogramowanie to szeroki termin obejmujący programy o różnych szkodliwych zdolnościach i celach. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia muszą być usuwane natychmiast po wykryciu.
Jak NGate przeniknął na moje urządzenie?
Znana kampania NGate rozpoczęła się od spamu SMS wysyłanego prawdopodobnie losowo (smishing). Wiadomość tekstowa dotyczyła zeznania podatkowego, ale prawdopodobne są inne przynęty. SMS prowadzi do złośliwej strony podszywającej się pod witrynę banku online, z której ofiara pobiera NGate.
Po uzyskaniu dostępu złośliwe oprogramowanie (przebrane za aplikację bankową) prosi użytkownika o podanie informacji bankowych (takich jak dane logowania). Następnie z ofiarą kontaktują się cyberprzestępcy, którzy podszywają się pod oficjalne wsparcie jej banku. Twierdzą, że urządzenie zostało przejęte i dostarczają ofierze instrukcje, takie jak zmiana kodu PIN (poprzez wprowadzenie starego do aplikacji imitującej - NGate) i umieszczenie karty bankowej w telefonie (np. w celu weryfikacji).
NGate może jednak działać na różne sposoby i dotyczy to metod wykorzystywanych do jego rozprzestrzeniania.
Złośliwe oprogramowanie jest zwykle ukryte lub dołączone do zwykłego oprogramowania/mediów. Powszechne techniki dystrybucji obejmują: złośliwe załączniki/linki w spamie (np. SMS-y, e-maile, wiadomości PM/DM, posty w mediach społecznościowych itp.), pobieranie drive-by download, podejrzane kanały pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), oszustwa internetowe, pirackie treści, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Niektóre złośliwe programy mogą nawet rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem przed pobraniem/zakupem, czytając warunki i recenzje ekspertów/użytkowników, sprawdzając niezbędne uprawnienia i weryfikując legalność dewelopera. Wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Oprogramowanie musi być aktywowane i aktualizowane przy użyciu oryginalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Innym zaleceniem jest zachowanie czujności podczas przeglądania, ponieważ oszukańcze i złośliwe treści online zwykle wydają się legalne i nieszkodliwe. Zalecamy ostrożność w przypadku przychodzących wiadomości e-mail, wiadomości PM/DM, SMS-ów itp. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być złośliwe.
Niezwykle ważne jest, aby mieć zainstalowany i aktualizowany niezawodny program antywirusowy. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.
Wygląd złośliwych stron podszywających się pod witryny bankowe i Google Play, które są wykorzystywane do rozprzestrzeniania NGate (źródło: welivesecurity.com):
Zrzut ekranu NGate podszywającego się pod polską aplikację bankową w celu kradzieży danych NFC i kodów PIN kart. Po zdobyciu takich danych cyberprzestępcy są w stanie wypłacić pieniądze z bankomatu za pomocą terminala zbliżeniowego bez konieczności posiadania fizycznej karty; źródło - ESET Research:
Quick menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem NGate, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga tak drastycznych środków.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie NGate?
Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i celów cyberprzestępców. NGate ma na celu ułatwienie wypłat z bankomatów z kont bankowych ofiar. Osiąga to poprzez nadużywanie protokołu NFC do imitowania kart bankowych. Złośliwe oprogramowanie może być również wykorzystywane do dokonywania nieuczciwych transakcji. W związku z tym NGate może powodować poważne problemy z prywatnością, straty finansowe i potencjalnie kradzież tożsamości.
Jaki jest cel złośliwego oprogramowania NGate?
Złośliwe oprogramowanie jest wykorzystywane głównie w celach zarobkowych i w oparciu o jego funkcje - NGate nie jest wyjątkiem. Inne motywacje stojące za infekcjami złośliwym oprogramowaniem obejmują atakujących szukających rozrywki, osobiste urazy, haktywizm i powody polityczne / geopolityczne.
W jaki sposób złośliwe oprogramowanie NGate przeniknęło na moje urządzenie z Androidem?
NGate rozprzestrzenia się poprzez smishing i inżynierię społeczną (tj. atakujący instruują ofiary przez telefon). Możliwe są również inne metody. Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozpowszechniane za pośrednictwem spamu (np. SMS-ów, wiadomości PM/DM, e-maili, postów w mediach społecznościowych), oszustw internetowych, pobierania drive-by, podejrzanych źródeł (np. witryn z freeware i stron trzecich, sieci udostępniania P2P itp.), pirackich treści, nielegalnych narzędzi do aktywacji oprogramowania ("cracków") i fałszywych aktualizacji. Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner jest w stanie wykryć i wyeliminować większość znanych infekcji złośliwym oprogramowaniem. Należy podkreślić, że uruchomienie pełnego skanowania systemu jest niezbędne, ponieważ wysokiej klasy złośliwe oprogramowanie zazwyczaj ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję