Jak usunąć trojana Crocodilus z urządzenia z Androidem
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest Crocodilus?
Crocodilus to trojan atakujący systemy operacyjne Android. To złośliwe oprogramowanie ma na celu kradzież danych logowania, danych finansowych i portfeli kryptowalut. Ma możliwości RAT (trojana zdalnego dostępu) i może przeprowadzać ataki nakładkowe.
Istnieją dowody sugerujące, że aktorzy rozpoczynający Crocodilus są tureckojęzyczni. Program ten został zaobserwowany w kampaniach skierowanych do użytkowników tureckich i hiszpańskich, ale jest wysoce prawdopodobne, że obszar docelowy rozszerzy się na inne regiony.
Przegląd złośliwego oprogramowania Crocodilus
Po instalacji Crocodilus prosi o zezwolenie na usługę ułatwień dostępu. Usługi ułatwień dostępu w systemie Android zapewniają dodatkową pomoc w interakcji z urządzeniem użytkownikom, którzy jej potrzebują; mają wiele możliwości - od czytania ekranu po symulację ekranu dotykowego. Złośliwe programy, które nadużywają tych usług, zyskują wszystkie ich funkcje.
Po udzieleniu pozwolenia, Crocodilus łączy się ze swoim serwerem C&C (Command and Control). Trojan ten potrafi ominąć ograniczenia bezpieczeństwa systemu Android 13 i nowszych wersji. Zbiera odpowiednie dane urządzenia (w tym listę zainstalowanych aplikacji) i wysyła informacje do swojego serwera C&C. Crocodilus może następnie otrzymywać polecenia i nakładki dla zainstalowanych aplikacji.
To złośliwe oprogramowanie może wykonywać następujące polecenia: żądać uprawnień administratora urządzenia, włączać/wyłączać dźwięk, blokować urządzenie, wdrażać środki zapobiegające usunięciu, kończyć działanie, otwierać określone aplikacje, wyświetlać powiadomienia, uzyskiwać listy kontaktów, przekazywać połączenia telefoniczne i zarządzać wiadomościami SMS.
Crocodilus może w różny sposób manipulować wiadomościami tekstowymi, np. ustawiać się jako domyślny menedżer SMS-ów, wysyłać SMS-y na określony numer lub do wszystkich kontaktów (opcje wysyłania tylko pojedynczej wiadomości lub dużej liczby) oraz pozyskiwać zawartość SMS-ów.
Zdolności trojana do wysyłania wiadomości tekstowych pozwalają na wykorzystanie go jako złośliwego oprogramowania Toll Fraud; jednak w chwili pisania tego tekstu nie był on wykorzystywany w tym charakterze. Ponieważ program ten może masowo wysyłać wiadomości SMS, może być wykorzystywany do wysyłania spamu, a nawet do samodzielnej proliferacji za pomocą przynęt wysyłanych w wiadomościach tekstowych.
Crocodilus stale monitoruje aktywność urządzenia i śledzi otwierane aplikacje. Dlatego też, gdy ofiara uruchomi aplikację, dla której atakujący przygotowali nakładki - złośliwe oprogramowanie umieszcza ekran phishingowy, który rejestruje wprowadzone informacje (np. dane logowania, dane osobowe, numery kart kredytowych / debetowych itp. Alternatywnie, sam Crocodilus może otworzyć określoną aplikację i przeprowadzić atak nakładkowy.
Zaobserwowano również, że złośliwe oprogramowanie wykorzystuje dodatkowe ekrany, a nie tylko ogranicza się do imitacji prawdziwych okien logowania lub płatności. Crocodilus wyświetla komunikat instruujący: "Utwórz kopię zapasową klucza portfela w ustawieniach w ciągu 12 godzin. W przeciwnym razie aplikacja zostanie zresetowana i możesz stracić dostęp do swojego portfela". - wabiąc w ten sposób ofiarę do ujawnienia swoich danych uwierzytelniających portfela kryptowalut.
Program ten ma zaawansowane możliwości keyloggingu (nagrywania naciśnięć klawiszy); wykorzystuje usługi dostępności do monitorowania wszystkich elementów na ekranie, a nie tylko wprowadzania danych z klawiatury.
Jak wspomniano we wstępie, Crocodilus ma funkcje RAT (trojana zdalnego dostępu). Innymi słowy, to złośliwe oprogramowanie może umożliwić zdalny dostęp i kontrolę nad urządzeniami.
Jego standardowe polecenia pokrywają się w pewnym stopniu z poleceniami RAT; te, które są wyłączne dla tego drugiego, obejmują: interakcję z interfejsem (np. wykonywanie ruchów machnięcia, naciskanie elementów, wywoływanie przycisków "wstecz"/"home"/"menu" itp.), wybudzanie urządzenia, zmienianie i pisanie tekstu w podświetlonych obszarach oraz przesyłanie strumieniowe na żywo za pośrednictwem przedniej kamery urządzenia.
Warto wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego potencjalne przyszłe iteracje Crocodilusa mogą mieć dodatkowe/różne funkcje i cechy.
Podsumowując, obecność oprogramowania takiego jak Crocodilus na urządzeniach może prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | Crocodilus malware |
| Typ zagrożenia | Złośliwe oprogramowanie na Androida, złośliwa aplikacja, trojan, trojan bankowy. |
| Nazwy wykrywania | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aAZVL), ESET-NOD32 (Android/Spy.Cerberus.DH), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.eq), Pełna lista (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Szkody | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania ukierunkowanego na Androida
Napisaliśmy o tysiącach złośliwych programów; PlayPraetor, Marcher i ToxicPanda to tylko kilka z naszych najnowszych artykułów na temat trojanów specyficznych dla Androida.
Złośliwe oprogramowanie to termin, który obejmuje oprogramowanie o szerokiej gamie złośliwych możliwości. Programy te mogą być zaprojektowane do wąskiego celu lub szerokiego zakresu zastosowań. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego konieczne jest usunięcie wszystkich zagrożeń natychmiast po ich wykryciu.
Jak Crocodilus przeniknął na moje urządzenie?
Złośliwe oprogramowanie rozprzestrzenia się głównie za pomocą taktyk phishingowych i socjotechnicznych. Często jest ono ukryte lub dołączone do zwykłych programów/plików multimedialnych.
Najbardziej rozpowszechnione metody dystrybucji obejmują: pobieranie drive-by (ukradkowe/zwodnicze), niezaufane kanały pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), złośliwe reklamy, złośliwe załączniki/linki w spamie (np. e-maile, SMS-y, wiadomości PM/DM itp.), oszustwa internetowe, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Ponadto niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem, czytając warunki i recenzje użytkowników/ekspertów, sprawdzając niezbędne uprawnienia i weryfikując legalność dewelopera. Wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Innym zaleceniem jest aktywowanie i aktualizowanie programów przy użyciu funkcji/narzędzi dostarczanych przez prawdziwych programistów, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Ponadto należy ostrożnie podchodzić do przychodzących wiadomości e-mail i innych wiadomości. Nie wolno otwierać załączników ani linków znalezionych w podejrzanej/nieprawidłowej poczcie, ponieważ mogą one być zakaźne. Należy zachować czujność podczas przeglądania Internetu, ponieważ jest on pełen zwodniczych i złośliwych treści.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego niezawodnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania zagrożeń i problemów.
Trojan Crocodilus żądający uprawnień Accessibly Service (źródło obrazu - ThreatFabric):
Przykład nakładki wyświetlanej przez trojana Crocodilus (źródło obrazu - ThreatFabric):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania w przeglądarce Chrome?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania w przeglądarce Firefox?
- Jak wyłączyć powiadomienia przeglądarki w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania z przeglądarki internetowej Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Naciśnij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij "Wyczyść i zresetuj". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Pamięć".
Stuknij "ZARZĄDZAJ PAMIĘCIĄ", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, stukając"OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Usuwanie historii przeglądania w przeglądarce Firefox:
Stuknij przycisk "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "WYCZYŚĆ DANE".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "kłódką") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "WYCZYŚĆ".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Pamięć".
Stuknij "WYCZYŚĆ DANE" i potwierdź akcję, stukając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aplikacje" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu awaryjnego".
Uruchom urządzenie z Androidem w "trybie awaryjnym":
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które przeszkadzają użytkownikom, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Power" i przytrzymaj go, aż zobaczysz ekran "Power off". Stuknij ikonę "Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić po ponownym uruchomieniu urządzenia.
Sprawdź zużycie baterii przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź zużycie danych przez różne aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Wykorzystanie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania, gdy urządzenie jest podłączone tylko do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Możesz również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Informacje o telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Resetuj ustawienia" - przywróć wszystkie ustawienia systemowe do wartości domyślnych;
"Resetuj ustawienia sieciowe" - przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
"Przywracanie danych fabrycznych" - zresetuj cały system i całkowicie usuń wszystkie zapisane dane;
Wyłącz aplikacje, które mają uprawnienia administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, stuknij je, a następnie stuknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem Crocodilus, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe zagrożenia powodowane przez złośliwe oprogramowanie Crocodilus?
Zagrożenia związane z infekcją zależą od możliwości złośliwego programu i sposobu działania cyberprzestępców. Crocodilus może zdalnie uzyskiwać dostęp / kontrolować urządzenia i atakować informacje związane z finansami. Ogólnie rzecz biorąc, infekcje tego rodzaju mogą prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania Crocodilus?
Złośliwe oprogramowanie służy przede wszystkim do generowania przychodów. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, angażowania się w haktywizm, zakłócania procesów (np. stron internetowych, usług, firm itp.) oraz przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie Crocodilus przeniknęło na moje urządzenie z Androidem?
Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez pobieranie drive-by, spam, oszustwa internetowe, złośliwe reklamy, podejrzane źródła pobierania (np. nieoficjalne i bezpłatne witryny hostujące pliki, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), fałszywe aktualizatory i nielegalne narzędzia do aktywacji oprogramowania ("cracking"). Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner jest w stanie wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że wykonanie pełnego skanowania systemu jest najważniejsze, ponieważ wyrafinowane złośliwe programy mają tendencję do ukrywania się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję