Hoe de SoumniBot-malware van uw Android-apparaat verwijderen
Geschreven door Tomas Meskauskas op
Wat voor soort malware is SoumniBot?
SoumniBot is een Android-specifieke malware. Het maakt gebruik van geavanceerde anti-analyse en anti-detectietechnieken. Dit schadelijke programma is ontworpen om gevoelige gegevens van apparaten te exfiltreren, met een bijzondere focus op bankgerelateerde informatie. SoumniBot werd gebruikt bij aanvallen op klanten van Koreaanse online banken.
Overzicht SoumniBot malware
Zoals vermeld in de inleiding, maakt SoumniBot gebruik van nieuwe anti-detectie en anti-analyse technieken. Om een overzicht te geven, vertrouwt deze malware op het versluieren van zijn Android manifest. De ontwikkelaars van SoumniBot hadden mogelijkheden ontdekt om het manifest te extraheren en te parseren.
Er zijn drie methoden geïmplementeerd om detectie/analyse te bemoeilijken. De eerste is de onjuiste validatie van het veld compressiemethode. Terwijl uitpakkers manifesten zoals dat van SoumniBot gewoonlijk als ongeldig zouden beschouwen, herkent de Android APK-parser het wel en staat het de installatie van de malware toe.
De tweede is de ongeldige manifestgrootte. Het schadelijke gearchiveerde manifest is groter dan aangegeven, wat een overlay veroorzaakt. Hoewel parsers die rigoureuzere protocollen volgen het bestand onleesbaar zouden vinden, ondervindt de Android APK parser geen problemen.
Ten derde zijn er de lange namespace-namen. Te lange namespace-namen maken manifesten onleesbaar, maar deze fout wordt vermeden omdat het Android OS ze volledig negeert. Daarnaast verbergt de malware zijn pictogram na installatie.
Na een succesvolle infiltratie begint SoumniBot een verbinding op te zetten met zijn C&C (Command and Control) server. De malware begint met het verzamelen van interessante informatie, bijv. IP-adres en geolocatiegegevens, lijst met geïnstalleerde toepassingen, mobiele serviceprovider, telefoonnummer, lijsten met contactpersonen, accounts, volumeniveaus van beltonen, enz.
SoumniBot kan ook contacten toevoegen en verwijderen. Het is in staat om sms'jes en mms'jes van slachtoffers te exfiltreren en het kan zelfs sms'jes versturen. Hoewel deze laatste functionaliteit op het moment van onderzoek niet werd gebruikt voor complexe doeleinden, is het relevant om te vermelden dat de ontwikkelaars van SoumniBot het konden upgraden om te functioneren als Toll Fraud malware.
Dit programma kan foto's en video's exfiltreren die zijn opgeslagen op gecompromitteerde apparaten. Het kan schakelen tussen stille modi en debugmodi.
SoumniBot zoekt naar digitale certificaten van Koreaanse banken. Deze identificatiecertificaten worden uitgegeven aan bankklanten om hen toegang te geven tot online bankdiensten en transacties uit te voeren.
Het moet vermeld worden dat malware-ontwikkelaars hun creaties vaak verbeteren; daarom kunnen mogelijke toekomstige versies van SoumniBot extra/andere mogelijkheden en functies hebben.
Kortom, de aanwezigheid van software zoals SoumniBot op apparaten kan leiden tot ernstige privacyproblemen, aanzienlijke financiële verliezen en identiteitsdiefstal.
| Naam | SoumniBot virus |
| Type bedreiging | Android-malware, schadelijke toepassing, bankmalware, banktrojan. |
| Opsporingsnamen | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Spy.5987), ESET-NOD32 (Een variant van Generik.NIEWRII), Fortinet (Android/Agent.MFQ!tr), Kaspersky (HEUR:Trojan-Banker.AndroidOS.SoumniBot), Volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen twijfelachtige toepassingen en het gegevens- en batterijverbruik neemt aanzienlijk toe. |
| Distributiemethoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, etc.), verminderde apparaatprestaties, de batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, gestolen identiteit (kwaadwillende apps kunnen misbruik maken van communicatie-apps). |
| Malware verwijderen (Android) | Om mogelijke malware-infecties te verwijderen, scant u uw mobiel apparaat met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Voorbeelden van bankmalware
GoldPickaxe, Greenbean, en Joker zijn slechts een paar van onze artikelen over Android-malware die op zoek is naar bankgerelateerde informatie. Schadelijke software kan verschillende schadelijke mogelijkheden hebben die onbeperkt zijn door de classificatie van het programma. Functionaliteiten voor het stelen van gegevens komen bijvoorbeeld veel voor.
Maar hoe malware ook werkt - de aanwezigheid ervan op een apparaat bedreigt de integriteit van het systeem en de veiligheid van de gebruiker. Daarom is het essentieel om alle bedreigingen onmiddellijk na ontdekking te elimineren.
Hoe heeft SoumniBot mijn apparaat geïnfiltreerd?
Over het algemeen wordt malware verspreid via phishing en social engineering-tactieken. Kwaadaardige software is meestal vermomd als of gebundeld met legitieme/gewone inhoud.
De meest wijdverspreide verspreidingstechnieken voor malware zijn: drive-by (sluipende/bedrieglijke) downloads, onbetrouwbare downloadkanalen (bijv. freeware en gratis websites voor het hosten van bestanden, Peer-to-Peer netwerken voor het delen van bestanden, app-winkels van derden, enz, e-mails, DM's/PM's, sms'jes, berichten op sociale media, enz.), malvertenties, online zwendel, illegale softwareactiveringstools ("cracks") en nepupdates.
Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Het is vermeldenswaard dat malware kan worden aangetroffen op legitieme downloadbronnen, zoals de Google Play Store. Hoewel de hostingperiode kort kan zijn, omdat systemen voor het beoordelen en rapporteren van uploads ervoor zorgen dat de schadelijke inhoud wordt verwijderd, kunnen cybercriminelen het nog steeds winstgevend vinden.
Hoe vermijd je de installatie van malware?
We raden ten zeerste aan om software te onderzoeken door de voorwaarden en beoordelingen van gebruikers/experts te lezen, toestemmingen te controleren, de legitimiteit van de ontwikkelaar te verifiëren, enz. Bovendien moeten alle downloads worden uitgevoerd vanaf officiële en betrouwbare kanalen. Programma's moeten worden geactiveerd en bijgewerkt met behulp van echte functies/tools, omdat programma's van derden malware kunnen bevatten.
Een andere aanbeveling is om voorzichtig te zijn tijdens het browsen, omdat frauduleuze en gevaarlijke online inhoud er meestal onschuldig uitziet. Inkomende e-mails en andere berichten moeten met zorg worden behandeld. Bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.
We moeten benadrukken hoe belangrijk het is om een betrouwbare antivirus te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en bedreigingen en problemen te verwijderen.
Snelmenu:
- Inleiding
- Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
- Hoe de Chrome-webbrowser opnieuw instellen?
- Hoe verwijder ik browsegeschiedenis uit de Firefox-webbrowser?
- Hoe meldingen in Firefox uitschakelen?
- Hoe de webbrowser Firefox opnieuw instellen?
- Hoe verwijder ik mogelijk ongewenste en/of schadelijke toepassingen?
- Hoe het Android-apparaat opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe installeer ik de nieuwste software-updates?
- Hoe reset ik het systeem naar de standaardstatus?
- Hoe applicaties met beheerdersrechten uitschakelen?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsinggegevens wissen", selecteer het tabblad "Geavanceerd", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel de browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site settings" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Verwijderen & resetten". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. Je kunt kiezen of je deze toestemming wilt geven of niet (als je weigert, gaat de website naar de sectie "Blokkeerd" en wordt er niet meer om toestemming gevraagd).
Reset de Chrome-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Storage".
Tik op "BESTAND BEWAREN", vervolgens op "AlLE GEGEVENS SCHOONMAKEN" en bevestig de actie door op "OK" te tikken. Door de browser te resetten, worden alle opgeslagen gegevens verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "Lock" te zijn) en selecteer "Edit Site Settings".
Kies in de geopende pop-up de optie "Notifications" en tik op "CLEAR".
Reset de webbrowser Firefox:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je de applicatie "Firefox" vindt, selecteer deze en tik op de optie "opslag".
Tik op "GEGEVENS VERWIJDEREN" en bevestig de actie door op "DELETE" te tikken. Merk op dat het resetten van de browser alle gegevens verwijdert die erin zijn opgeslagen. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een mogelijk ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Uninstall". Als het om de een of andere reden niet lukt om de geselecteerde applicatie te verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je de "Veilige modus" proberen.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Aan/uit" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze starten door het apparaat opnieuw op te starten.
Het batterijverbruik van verschillende applicaties controleren:
Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Connecties" ziet en tik erop.
Scroll naar beneden totdat je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij batterijen zijn legitieme/originele toepassingen ontworpen om het gegevensgebruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van een schadelijke applicatie. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensverbruik controleren.
Als je een toepassing vindt die veel gegevens gebruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te verwijderen.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat je "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden je ook aan om de optie "Updates automatisch downloaden" in te schakelen, zodat het systeem je een melding geeft zodra er een update beschikbaar is en/of deze automatisch installeert.
Zet het systeem terug naar de standaardstatus:
Het uitvoeren van een "Factory Reset" is een goede manier om alle ongewenste toepassingen te verwijderen, de standaardinstellingen van het systeem te herstellen en het apparaat in het algemeen schoon te maken. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggebracht naar zijn oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen herstellen" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen herstellen" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens herstellen" - het hele systeem resetten en alle opgeslagen gegevens volledig wissen;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelingsscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apps voor apparaatbeheer".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met SoumniBot-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Malware verwijderen vereist zelden zulke drastische maatregelen.
Wat zijn de grootste problemen die SoumniBot malware kan veroorzaken?
De bedreigingen die gepaard gaan met een infectie hangen af van de mogelijkheden van het kwaadaardige programma en de doelen van de cybercriminelen. SoumniBot is een malware die gegevens steelt en zich richt op bankgegevens. Dit soort infecties wordt in verband gebracht met ernstige privacyproblemen, financieel verlies en identiteitsdiefstal.
Wat is het doel van de SoumniBot-malware?
Malware wordt voornamelijk gebruikt om winst te maken. Cybercriminelen kunnen kwaadaardige software echter ook gebruiken om zichzelf te amuseren, persoonlijke vendetta's uit te voeren, processen te verstoren (bijv. websites, diensten, enz.), aan hacktivisme te doen en politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe heeft de SoumniBot-malware mijn Android-apparaat geïnfiltreerd?
De meest gebruikte verspreidingsmethoden zijn: drive-by downloads, online scams, spam mail, malvertising, dubieuze downloadbronnen (bijv. freeware en gratis file-hosting sites, P2P sharing netwerken, third-party app stores, etc.), illegale software activatie ("cracking") tools en nep-updates. Sommige schadelijke programma's kunnen zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan praktisch alle bekende malware-infecties detecteren en elimineren. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan cruciaal is omdat high-end kwaadaardige programma's zich meestal diep in systemen verbergen.
Uitmuntend!
▼ Toon discussie