Jak usunąć złośliwe oprogramowanie PlayPraetor z Androida
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest PlayPraetor?
PlayPraetor to złośliwe oprogramowanie typu trojan atakujące urządzenia z systemem Android. Jest to wielofunkcyjny program zdolny do kradzieży szerokiej gamy informacji z zaatakowanych systemów. PlayPraetor został rozprzestrzeniony poprzez masową kampanię wykorzystującą fałszywe strony internetowe Sklepu Google Play.
Przegląd złośliwego oprogramowania PlayPraetor
PlayPraetor rozprzestrzenia się pod przykrywką legalnie wyglądających aplikacji. Po instalacji trojan ten może wyświetlać użytkownikowi fałszywy ekran tworzenia konta lub logowania z prośbą o podanie numeru telefonu i hasła. W niektórych przypadkach złośliwe oprogramowanie żąda przyznania uprawnień dostępu.
Złośliwe oprogramowanie często wykorzystuje Android Accessibility Services, aby rozszerzyć swoje możliwości. Usługi ułatwień dostępu zostały zaprojektowane w celu zapewnienia dodatkowej pomocy w interakcji z urządzeniem użytkownikom, którzy jej potrzebują. Na przykład usługi te mogą odczytywać ekran, manipulować ekranem dotykowym, wchodzić w interakcje z klawiaturą itp.
W związku z tym, dzięki temu uprawnieniu, złośliwe oprogramowanie może uzyskać i nadużywać wszystkich funkcji usług Android Accessibility Services. Jednak PlayPraetor nie zawsze polega na tym zezwoleniu.
Trojan ten gromadzi istotne dane urządzenia, takie jak jego identyfikator, marka/model, wersja systemu operacyjnego, rozdzielczość ekranu, stan baterii, informacje geolokalizacyjne (np. adres IP, strefa czasowa, współrzędne itp.), szczegóły sieci itp. PlayPraetor pobiera listę docelowych aplikacji, która obejmuje aplikacje bankowe i portfele kryptowalut.
Program gromadzi dane związane z docelowym oprogramowaniem i może być w stanie wyświetlać ekrany phishingowe (przeprowadzać ataki typu overlay). Rozszerzając to ostatnie, polega to na nakładaniu prawdziwych aplikacji na ekrany imitatorów z prośbą o podanie danych logowania, numerów kart kredytowych lub innych poufnych danych.
PlayPraetor może również przechwytywać przychodzące wiadomości SMS, które mogą zawierać kody OTP (One-Time Passwords) i 2FA/MFA (Two/Multi-Factor Authentication). Stale monitoruje zawartość kopiowaną do schowka (bufor kopiuj-wklej), prawdopodobnie celując w adresy kryptowalut i inne informacje związane z finansami.
Złośliwe oprogramowanie ma zdolność keyloggingu (nagrywania naciśnięć klawiszy). PlayPraetor może być również wykorzystywany jako oprogramowanie ransomware lub do dodawania urządzeń ofiar do botnetu (np. do automatycznego klikania reklam, rejestrowania użytkowników w celu uzyskania drogich subskrypcji itp.)
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego możliwe przyszłe iteracje PlayPraetor mogą mieć dodatkowe/różne funkcje i cechy.
Podsumowując, obecność oprogramowania takiego jak PlayPraetor na urządzeniach może prowadzić do utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | PlayPraetor malware |
| Typ zagrożenia | Trojan, złośliwe oprogramowanie na Androida, złośliwa aplikacja. |
| Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.BankBot.Remo.1.origin), ESET-NOD32 (Wiele wykryć), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.md), Pełna lista (VirusTotal) |
| Powiązane domeny | pajak.abrgo[.]cc, pajak.veugo[.]cc, googleplay.djppajakgoid[.]com, pajak.rugind[.]cc itp. |
| Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania ukierunkowanego na Androida
Zbadaliśmy niezliczone próbki złośliwego oprogramowania; KoSpy, SpyLend, SparkCat i FireScam to tylko niektóre z naszych najnowszych artykułów na temat programów specyficznych dla Androida.
Złośliwe programy mogą mieć szeroki zakres możliwości, które mogą być wykorzystywane do różnych lub bardzo ograniczonych celów. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być usuwane natychmiast po wykryciu.
Jak PlayPraetor przeniknął na moje urządzenie?
PlayPraetor został rozprzestrzeniony poprzez szeroko zakrojoną kampanię obejmującą co najmniej sześć tysięcy fałszywych stron Sklepu Google Play. Strony te ściśle imitują Google Play. Ich adresy URL mogą również naśladować oficjalną domenę Sklepu Play lub w inny sposób zawierać jego nazwę lub słowa związane z istniejącymi produktami/usługami. Niektóre adresy URL opierały się również na literówkach (błędnie wpisanych adresach).
Złośliwe oprogramowanie jest zamaskowane jako legalne aplikacje z potencjalnymi podobieństwami do popularnych narzędzi (np. nazwy, ikony itp.). Oprócz typosquattingu, te imitacje stron internetowych były promowane za pośrednictwem wiadomości SMS oraz postów i reklam w Meta. Znane przynęty koncentrowały się na zachętach finansowych (np. zniżkach, ofertach, potencjale zarobkowym itp.) i znanych markach.
Należy pamiętać, że możliwe są również inne metody promocji. Phishing i socjotechnika są standardem w dystrybucji złośliwego oprogramowania. Złośliwe programy są zwykle ukryte lub dołączone do zwykłego oprogramowania/plików multimedialnych.
Powszechne techniki dystrybucji obejmują: pobieranie drive-by (ukradkowe/zwodnicze), oszustwa internetowe, złośliwe załączniki/linki w spamie (np. e-maile, SMS-y, wiadomości PM/DM, posty w mediach społecznościowych itp.), wątpliwe kanały pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania Peer-to-Peer itp.), pirackie treści, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy pobieranie wyłącznie z oficjalnych i zweryfikowanych źródeł. Oprogramowanie należy zbadać przed pobraniem lub zakupem, czytając warunki i recenzje użytkowników/ekspertów, sprawdzając wymagane uprawnienia i weryfikując legalność dewelopera. Programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ te nabyte od stron trzecich mogą zawierać złośliwe oprogramowanie.
Ponadto zalecamy czujność podczas przeglądania Internetu, ponieważ jest on pełen zwodniczych i niebezpiecznych treści. Do przychodzących e-maili i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znajdujących się w podejrzanych wiadomościach, ponieważ mogą być one niebezpieczne.
Musimy podkreślić znaczenie posiadania niezawodnego i aktualnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.
Zrzut ekranu fałszywej strony Google Play Store promującej trojana PlayPraetor:
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem PlayPraetor, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie PlayPraetor?
Zagrożenia stwarzane przez infekcję zależą od możliwości złośliwego oprogramowania i celów atakujących. PlayPraetor to wielofunkcyjne złośliwe oprogramowanie, które ma kilka funkcji kradzieży danych. Ogólnie rzecz biorąc, infekcje tego rodzaju mogą prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania PlayPraetor?
Złośliwe oprogramowanie służy przede wszystkim do generowania przychodów. Jednak cyberprzestępcy mogą również wykorzystywać je do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. stron internetowych, usług itp.), angażowania się w haktywizm i przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie PlayPraetor przeniknęło do mojego urządzenia z Androidem?
PlayPraetor został rozprzestrzeniony za pośrednictwem fałszywych witryn Google Play, które były promowane za pośrednictwem reklam i postów Meta, wiadomości SMS i literówek. Inne techniki dystrybucji nie są mało prawdopodobne.
Złośliwe oprogramowanie jest powszechnie rozprzestrzeniane poprzez pobieranie drive-by download, niezaufane kanały pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), oszustwa internetowe, spam, pirackie oprogramowanie/media, nielegalne narzędzia aktywacyjne ("cracking") i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner jest w stanie wykryć i wyeliminować praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wykonanie pełnego skanowania systemu jest najważniejsze, ponieważ wysokiej klasy złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję