Jak wyeliminować KoSpy z zainfekowanych urządzeń
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest KoSpy?
KoSpy to oprogramowanie szpiegujące atakujące użytkowników Androida mówiących po koreańsku i angielsku. Podszywa się pod aplikacje użytkowe, wykorzystuje dwustopniową infrastrukturę C2 i gromadzi szeroki zakres danych z zainfekowanych urządzeń. Złośliwe oprogramowanie jest dystrybuowane za pośrednictwem Google Play i zewnętrznych sklepów z aplikacjami, takich jak APKPure.
KoSpy w szczegółach
Po infiltracji KoSpy pobiera konfigurację z Firebase Firestore, która pozwala atakującemu kontrolować oprogramowanie szpiegujące (włączać je lub wyłączać i w razie potrzeby zmieniać serwer). Oprogramowanie szpiegujące sprawdza również, czy urządzenie nie jest emulatorem i czy bieżąca data jest po określonej dacie aktywacji, aby uniknąć ujawnienia jego złośliwego celu.
KoSpy wysyła dwa rodzaje żądań do swojego serwera kontroli. Jedno żądanie dotyczy pobrania wtyczek, podczas gdy drugie pobiera ustawienia dla swoich funkcji szpiegowskich. KoSpy jest w stanie gromadzić szeroki zakres poufnych informacji z zainfekowanych urządzeń za pomocą pobranych wtyczek.
Obejmuje to gromadzenie wiadomości tekstowych, dzienników połączeń, lokalizacji urządzenia, plików przechowywanych lokalnie, a nawet nagrywanie dźwięku lub robienie zdjęć za pomocą kamer urządzenia. Może również przechwytywać zrzuty ekranu, nagrywać ekran, śledzić naciśnięcia klawiszy poprzez wykorzystanie funkcji dostępności oraz gromadzić szczegółowe informacje o sieciach Wi-Fi i zainstalowanych aplikacjach.
Cyberprzestępcy mogą wykorzystać możliwości KoSpy do kradzieży poufnych danych osobowych, takich jak wiadomości SMS, dzienniki połączeń i dane o lokalizacji, które mogą zostać wykorzystane do kradzieży tożsamości lub oszustw finansowych. Mogą również uzyskiwać dostęp do prywatnych plików, nagrywać dźwięk, robić zdjęcia i monitorować aktywność na ekranie w celu gromadzenia prywatnych rozmów lub poufnych informacji.
Dodatkowo, keylogging może pozwolić atakującym na przechwycenie danych logowania i innych poufnych informacji. Takie naruszenie prywatności może prowadzić do poważnych konsekwencji, takich jak przejęcie konta, straty finansowe lub dalsze wykorzystywanie danych osobowych ofiary.
Nazwa | KoSpy Android Spyware |
Typ zagrożenia | Oprogramowanie szpiegujące, złośliwe oprogramowanie dla systemu Android |
Nazwy wykryć | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.QT), K7GW (Trojan ( 005a76541 )), Symantec Mobile Insight (AdLibrary:Generisk), Pełna lista (VirusTotal) |
Objawy | Urządzenie działa wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, pojawiają się podejrzane aplikacje, znacznie wzrasta zużycie danych i baterii, przeglądarki przekierowują na podejrzane strony internetowe, wyświetlane są natrętne reklamy. |
Metody dystrybucji | Złośliwe aplikacje, sklepy z aplikacjami innych firm (takie jak APKPure), Google Play |
Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Podsumowanie
Podsumowując, KoSpy to niebezpieczne oprogramowanie szpiegujące, które może gromadzić obszerne dane osobowe z zainfekowanych urządzeń z systemem Android. Wykorzystując funkcje KoSpy, cyberprzestępcy mogą angażować się w kradzież tożsamości, oszustwa finansowe i naruszanie prywatności, co prowadzi do poważnych konsekwencji dla ofiar.
Niektóre przykłady innego złośliwego oprogramowania dla Androida to SpyLend, NativeWorm i SparkCat.
Jak KoSpy przeniknął na moje urządzenie?
KoSpy podszywa się pod różne aplikacje użytkowe, w tym "Phone Manager", "File Manager", "Smart Manager", "Kakao Security" i "Software Update Utility". Niektóre wersje KoSpy można było znaleźć zarówno w sklepie Google Play, jak i w sklepach z aplikacjami innych firm, takich jak APKPure. Aplikacje te nie są już jednak dostępne w sklepie Google Play.
Do infekcji KoSpy dochodzi, gdy użytkownicy nieświadomie pobierają i instalują złośliwe aplikacje podszywające się pod legalne programy. Warto zauważyć, że złośliwe reklamy, fałszywe e-maile (i inne formy wiadomości) są również powszechnie wykorzystywane do dostarczania złośliwego oprogramowania.
Jak uniknąć instalacji złośliwego oprogramowania?
Pobieraj aplikacje tylko z zaufanych źródeł, takich jak Google Play. Unikaj korzystania ze sklepów innych firm lub podejrzanych witryn. Zachowaj ostrożność, klikając linki w nieoczekiwanych lub podejrzanych wiadomościach e-mail, SMS lub wiadomościach w mediach społecznościowych, ponieważ mogą one prowadzić do szkodliwych treści. Upewnij się, że system Android i aplikacje są regularnie aktualizowane i włącz Google Play Protect dla dodatkowego bezpieczeństwa.
KoSpy w Google Play pod przykrywką "Menedżera plików" (źródło: lookout.com):
Interfejs KoSpy (źródło: lookout.com):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie jest zainfekowane złośliwym oprogramowaniem KoSpy, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie urządzenia pamięci masowej może wyeliminować KoSpy, ale powinno być ostatecznością. Zacznij od użycia zaufanego narzędzia zabezpieczającego, takiego jak Combo Cleaner, aby wykryć i usunąć złośliwe oprogramowanie. Takie podejście jest zazwyczaj szybsze i mniej uciążliwe niż całkowite wyczyszczenie urządzenia.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może wykradać poufne dane, prowadząc do strat finansowych i kradzieży tożsamości. Może powodować nieprawidłowe działanie systemu i dawać cyberprzestępcom kontrolę nad urządzeniem. Ponadto złośliwe oprogramowanie może rozprzestrzeniać się na inne urządzenia, infekując je lub wdrażając dodatkowe szkodliwe ładunki.
Jaki jest cel KoSpy?
KoSpy to oprogramowanie szpiegujące zaprojektowane do wykradania poufnych informacji z urządzeń z systemem Android. Gromadzi dane, takie jak wiadomości SMS, dzienniki połączeń, lokalizacja, pliki, a nawet nagrywa dźwięk, robi zdjęcia lub śledzi naciśnięcia klawiszy.
Jak KoSpy przeniknął na moje urządzenie?
KoSpy prawdopodobnie przeniknął na Twoje urządzenie za pośrednictwem złośliwych aplikacji podszywających się pod legalne programy narzędziowe. Aplikacje te były dystrybuowane za pośrednictwem zewnętrznych sklepów z aplikacjami, takich jak Apkpure i, w pewnym momencie, Google Play.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner może wykryć i usunąć większość infekcji złośliwym oprogramowaniem, ale zaawansowane złośliwe oprogramowanie może ukrywać się głęboko w systemie. Aby zapewnić dokładne usunięcie, zaleca się przeprowadzenie pełnego skanowania systemu.
▼ Pokaż dyskusję