Jak usunąć złośliwe oprogramowanie SpyLend z urządzeń z Androidem
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest SpyLend?
SpyLend to złośliwy program atakujący urządzenia z systemem Android. Może być wykorzystywany na różne sposoby, ale jego głównym zastosowaniem jest działanie jako złośliwe oprogramowanie "SpyLoan".
W chwili pisania tego tekstu oprogramowanie to działało jako "SpyLoan" po zainstalowaniu na urządzeniach znajdujących się w Indiach. Oferuje indyjskim użytkownikom drapieżne pożyczki i wykorzystuje taktyki inżynierii społecznej lub szantażu, aby zmusić ich do zapłaty. SpyLend był promowany w sklepie Google Play i został pobrany ponad 100 000 razy.
Przegląd złośliwego oprogramowania SpyLend
Zaobserwowano, że SpyLend infiltruje urządzenia pod przykrywką aplikacji "Finance Simplified". Pomimo wszelkich twierdzeń, aplikacja ta nie jest powiązana z żadnymi legalnymi podmiotami.
Złośliwe oprogramowanie najpierw określa, na jakim systemie operacyjnym jest uruchamiane, co sugeruje, że kampania ta może być również skierowana na iPhone'y. Po instalacji SpyLend uzyskuje szeroki zakres uprawnień. Gromadzi informacje dotyczące zainstalowanych aplikacji, tj. typ (systemowa lub zwykła aplikacja), nazwy pakietów i aplikacji oraz datę instalacji.
Złośliwy program gromadzi dane geolokalizacyjne w odstępach trzech sekund. Informacje te mogą być wystarczająco dokładne, aby określić kraj, region/prowincję, miasto, a nawet nazwę ulicy. Może również uzyskać historyczne dane o lokalizacji i adres IP.
Dodatkowo SpyLend uzyskuje uprawnienia do kontaktów, połączeń i SMS-ów. Może wyodrębnić obszerne dane kontaktowe, w tym nazwiska, numery telefonów, stanowiska, działy, firmy i inne dostępne informacje. Gromadzi dzienniki połączeń i szczegóły, takie jak czas trwania połączenia, data i lokalizacja.
Jeśli chodzi o uprawnienia SMS, złośliwe oprogramowanie może przechwytywać, aktualizować, usuwać i uzyskiwać dostęp do treści wiadomości tekstowych. W szczególności atakuje SMS-y związane z pożyczkami i innymi operacjami finansowymi. Złośliwe oprogramowanie może uzyskać wszelkie kody OTP (hasła jednorazowe) i 2FA/MFA (uwierzytelnianie dwu-/wieloskładnikowe) wysyłane za pośrednictwem wiadomości SMS.
SpyLend może uzyskiwać dostęp do plików i pobierać je zarówno z pamięci wewnętrznej, jak i zewnętrznej (np. kart SD). Może eksfiltrować dokumenty, zdjęcia i filmy. Celem jest również tekst kopiowany do schowka, a program może wyodrębnić dwadzieścia ostatnich wpisów w buforze kopiuj-wklej.
Podstawowa funkcjonalność złośliwego oprogramowania jest w dużym stopniu zależna od WebView - komponentu, który umożliwia korzystanie z treści internetowych w aplikacji. W oparciu o odpowiednie informacje (takie jak lokalizacja), SpyLend pobiera dane/ustawienia w celu utworzenia fałszywego interfejsu aplikacji pożyczkowej lub usługi finansowej (np. rodzaje pożyczek, stopy procentowe, plany spłat, dzienniki aktywności użytkownika itp.)
W momencie badania SpyLend był skierowany do użytkowników z Indii. Zamiast "Finance Simplified" - interfejsu aplikacji kalkulatora finansowego, przedstawiono im wniosek o pożyczkę, który oferuje łatwe i szybkie pożyczki przy minimalnej dokumentacji i korzystnych warunkach.
Ofiary tego złośliwego oprogramowania pożyczają pieniądze i są zmuszane do ich zwrotu po wygórowanych stawkach. Aby zmusić je do zapłaty, stosowane są techniki inżynierii społecznej, wymuszeń i szantażu.
SpyLend poszukuje informacji w celu zbudowania profilu ofiary, np. danych osobowych, aktywności finansowej, historii pożyczek, spłat, zaległych płatności itp. Dane te mogą być wykorzystywane do oszukiwania/wywierania presji na ofiary lub przeprowadzania transakcji finansowych bez ich autoryzacji.
Zgłoszono, że SpyLend był wykorzystywany do grożenia ofiarom, że ich zdjęcia posłużą jako podstawa do deepfake (edytowanych) aktów, które następnie zostaną wysłane do ich kontaktów, jeśli odmówią zapłaty.
Należy wspomnieć, że docelowy kraj/region lub taktyka stosowana przez cyberprzestępców stojących za tym złośliwym oprogramowaniem może ulec zmianie. Warto również zauważyć, że sposób, w jaki SpyLend wykorzystuje swój element WebView - aby zaprezentować użytkownikom okno (witrynę) e "Aktualizuj teraz" - może zostać wykorzystany do zainstalowania aktualizacji tego złośliwego oprogramowania lub innego złośliwego oprogramowania.
Komponent ten umożliwia również wstrzykiwanie złośliwego kodu, w którym to przypadku program może modyfikować sposób działania wyświetlanej zawartości, np. proces "aktualizacji" lub działać jako strona phishingowa (poprzez rejestrowanie dostarczonych danych, takich jak dane osobowe, dane logowania, numery kart kredytowych itp.)
Podsumowując, obecność oprogramowania takiego jak SpyLend na urządzeniach może prowadzić do wielu infekcji systemu, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | SpyLend virus |
| Typ zagrożenia | Złośliwe oprogramowanie Android, złośliwa aplikacja, aplikacja SpyLoan. |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania dla systemu Android
Pisaliśmy o wielu złośliwych programach; MoneyMonger - jest przykładem oprogramowania działającego jako SpyLoan, podczas gdy Marcher, NativeWorm, SparkCat, G700 - to tylko niektóre z naszych najnowszych artykułów na temat złośliwego oprogramowania ukierunkowanego na Androida.
Złośliwe oprogramowanie może mieć różne funkcje lub być zaprojektowane do niezwykle konkretnego celu. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak SpyLend przeniknął na moje urządzenie?
SpyLend był promowany za pośrednictwem Sklepu Google Play, jednak samo złośliwe oprogramowanie zostało pobrane z zewnętrznego źródła, do którego przekierowywano użytkowników. Ten złośliwy program był zamaskowany jako aplikacja o nazwie "Finance Simplified". Ta sama infrastruktura została wykorzystana do promowania aplikacji o nazwach "Fairbalance", "KreditApple", "KreditPro", "MoneyAPE", "PokketMe" i "StashFur".
Od tego czasu złośliwe oprogramowanie zostało usunięte ze Sklepu Play. Należy pamiętać, że SpyLend może nosić inne przebrania i być rozpowszechniany przy użyciu różnych metod.
Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozpowszechniane przy użyciu technik phishingu i inżynierii społecznej. Złośliwe oprogramowanie jest często ukryte lub dołączone do zwykłych programów/mediów.
Najbardziej rozpowszechnione metody obejmują: pobieranie drive-by (ukradkowe/zwodnicze), niezaufane źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), oszustwa internetowe, złośliwe załączniki/linki w spamie (np. e-maile, wiadomości PM/DM, SMS-y, posty w mediach społecznościowych itp.), złośliwe reklamy, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy sprawdzenie oprogramowania przed pobraniem lub zakupem, czytając warunki i recenzje ekspertów/użytkowników, sprawdzając niezbędne uprawnienia i weryfikując legalność dewelopera. Wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych kanałów. Programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Ponadto zalecamy czujność podczas przeglądania, ponieważ fałszywe i niebezpieczne treści online zwykle wydają się autentyczne i nieszkodliwe. Do poczty przychodzącej należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych wiadomościach e-mail/wiadomościach, ponieważ mogą one być zakaźne.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania zagrożeń/problemów.
SpyLend prezentujący różne interfejsy w zależności od geolokalizacji ofiary (źródło obrazu - CYFIRMA):
SpyLend malware's"Upgrade Now" WebView (promowana strona internetowa):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem SpyLend, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie SpyLend?
Zagrożenia stwarzane przez złośliwe oprogramowanie zależą od jego możliwości i celów atakujących. SpyLend może wykradać poufne dane i był wykorzystywany jako drapieżna aplikacja pożyczkowa, która wykorzystuje taktykę szantażu / wymuszeń w celu wyciągnięcia pieniędzy od ofiar. To złośliwe oprogramowanie może powodować liczne infekcje systemu, poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jaki jest cel malware SpyLend?
Złośliwe oprogramowanie jest wykorzystywane głównie w celach zarobkowych. Inne możliwe powody obejmują atakujących, którzy chcą się zabawić lub zrealizować osobiste wendety, zakłócić procesy (np. strony internetowe, usługi itp.), zaangażować się w haktywizm i przeprowadzić ataki motywowane politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie SpyLend przeniknęło do mojego komputera?
SpyLend został rozprzestrzeniony za pośrednictwem sklepu Google Play. Od tego czasu został usunięty, ale może zostać ponownie pobrany lub rozprzestrzeniony przy użyciu innych metod.
Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozpowszechniane głównie poprzez pobieranie drive-by, oszustwa internetowe, złośliwe reklamy, wiadomości e-mail/wiadomości spamowe, podejrzane kanały pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner może wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Należy pamiętać, że uruchomienie pełnego skanowania systemu jest niezbędne, ponieważ wysokiej klasy złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję