Verwijderingsinstructies voor de valse "System Update" Android-malware
Geschreven door Tomas Meskauskas op
Waat is valse "System Update" RAT?
Valse "System Update" RAT - verwijst naar een Remote Access Trojan (RAT) gericht op Android-apparaten, die vaak vermomd is als een applicatie die systeemupdates aanbiedt. Er moet echter worden vermeld dat deze trojan een andere vermomming heeft gebruikt - een app die zogenaamd nieuws en live uitzendingen van de 2022 FIFA World Cup biedt.
RAT's zijn een soort malware waarmee op afstand toegang kan worden verkregen tot en controle kan worden uitgeoefend over geïnfecteerde machines. Deze kwaadaardige programma's zijn ongelooflijk veelzijdig en hebben verschillende functionaliteiten en toepassingen. De valse "System Update" malware kan verschillende kwaadaardige activiteiten uitvoeren met een bijzondere focus op spionage en het verzamelen van gegevens.
Valse "System Update" RAT overzicht
Als een RAT - de valse "System Update" malware kan externe toegang/controle over geïnfecteerde Android-apparaten mogelijk maken. Na installatie vraagt het om een uitgebreide lijst met toestemmingen waarmee het zijn kwaadaardige activiteiten kan uitvoeren.
Het programma krijgt verdere controle door misbruik te maken van de Android Accessibility Services, die zijn ontworpen om gebruikers die dat nodig hebben extra hulp te bieden bij de interactie met het apparaat. De Toegankelijkheidsdiensten omvatten de volgende mogelijkheden: het lezen van het scherm van het apparaat, interactie met het aanraakscherm, simulatie van het toetsenbord, enzovoort.
Om deactivering door batterijoptimalisatie te voorkomen, vraagt deze "System Update" trojan toestemming om van dit proces te worden vrijgesteld. De schadelijke app kan zichzelf ook verbergen in het menu van het apparaat. De trojan kan het systeem "wakker maken" door een valse melding "Zoeken naar update..." weer te geven.
Deze RAT begint met het verzamelen van relevante machinegegevens (bijv. apparaatnaam, OS-details, opslagstatistieken, geïnstalleerde toepassingen, enz.) Zoals eerder vermeld, heeft deze trojan uitgebreide spywaremogelijkheden. Het kan op verschillende manieren gesprekken en sms'jes beheren en manipuleren en zelfs werken als Toll Fraud malware.
Het kan sms-berichten lezen, ontvangen en stelen. Het kwaadaardige programma kan contactlijsten extraheren, gesprekslogs exfiltreren, telefoongesprekken opnemen, uitgaande gesprekken omleiden en zelfs voeren. De mogelijkheid om geluid op te nemen is ook niet beperkt tot een actief gesprek; de malware kan de microfoon van het apparaat op commando gebruiken.
De functionaliteiten van de RAT kunnen automatisch worden geactiveerd wanneer een nieuwe sms wordt ontvangen, een contact wordt toegevoegd of een app wordt geïnstalleerd. Deze malware richt zich ook op gegevens die zijn gekoppeld aan messengers, namelijk WhatsApp. Het programma kan de berichten verkrijgen die zijn verzonden met instant messaging-software, evenals de databasebestanden.
Het kan ook ontvangen meldingen en inhoud die is gekopieerd naar het klembord (copy-paste buffer) inspecteren. Geolocatie wordt ook in de gaten gehouden, via GPS of netwerkgegevens.
De trojan kan bestanden zoeken op extensie (bijv. doc, .docx, .xls, .xlsx, pdf, etc.) en deze exfiltreren. Het probeert ook afbeeldingen en video's te stelen, maar omdat deze bestanden groot zijn en het downloaden ervan veel opvallender zou zijn, exfiltreert de malware in plaats daarvan hun miniaturen.
Het steelproces wordt niet beperkt door de beschikbaarheid van Wi-Fi, want deze nep "System Update" trojan kan mobiele data gebruiken - zij het binnen bepaalde specificaties om niet al te veel argwaan te wekken. Bovendien is de diefstal van afbeeldingen niet beperkt tot reeds bestaande afbeeldingen, omdat het programma de voor- en achtercamera's van het apparaat kan gebruiken om heimelijk foto's te nemen.
De RAT richt zich op browsergerelateerde informatie en kan deze stelen van de Samsung Internet Browser, Google Chrome en Mozilla Firefox. Interessante gegevens zijn onder andere: bezochte URL's, bekeken pagina's, zoekopdrachten, bladwijzers, enz.
Er moet worden vermeld dat malwareontwikkelaars hun programma's vaak verbeteren; toekomstige versies van deze RAT kunnen dus andere/extra mogelijkheden hebben.
Samengevat kan de aanwezigheid van malware zoals de valse "System Update" RAT op apparaten leiden tot ernstige privacyproblemen, financiële verliezen en zelfs identiteitsdiefstal.
Als u denkt dat uw apparaat geïnfecteerd is met deze of andere kwaadaardige software, raden we u ten zeerste aan een antivirusprogramma te gebruiken om het onmiddellijk te verwijderen.
| Naam | Valse "System Update" remote access trojan |
| Type bedreiging | Android malware, malicious application. |
| Detectienamen (valse update app variant) | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Spy.829.origin), ESET-NOD32 (Android/Spy.Agent.BOC), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Agent.ya), volledige lijst (VirusTotal) |
| Detectienamen (fake FIFA app variant) | Avast-Mobile (Android:FakeSys-X [Spy]), ESET-NOD32 (A Variant Of Android/Spy.Agent.BOC), Fortinet (Android/Agent.BOC!tr.spy), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.a), volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen twijfelachtige toepassingen, het gegevens- en batterijverbruik neemt aanzienlijk toe, browsers worden omgeleid naar twijfelachtige websites en er worden opdringerige advertenties weergegeven. |
| Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, etc.), verminderde apparaatprestaties, de batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, gestolen identiteit (kwaadwillende apps kunnen misbruik maken van communicatie-apps). |
| Malware verwijderen (Android) | Om mogelijke malware-infecties te verwijderen, scant u uw mobiel apparaat met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Android-targeting RAT voorbeelden
We hebben tientallen Android-specifieke schadelijke programma's geanalyseerd; IcRAT, Ahmyth, Cypher en PJobRAT zijn slechts enkele voorbeelden van RAT's die gericht zijn op deze besturingssystemen.
Malware kan een breed scala aan mogelijkheden en toepassingen hebben. Maar hoe kwaadaardige software ook werkt - de aanwezigheid ervan op een systeem brengt de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar. Daarom moeten alle bedreigingen onmiddellijk na ontdekking worden verwijderd.
Hoe heeft de valse "System Update" RAT mijn apparaat geïnfiltreerd?
De RAT in kwestie is verspreid onder het mom van een applicatie met de naam "System Update". Een andere vermomming is een app die beweert updates en live uitzendingen van de 2022 FIFA World Cup aan te bieden. Deze voetbal app werd verspreid via een Facebook-pagina gewijd aan het 2022 kampioenschap, die doorverwijst naar een kwaadaardige website met dezelfde vermomming.
Het is echter mogelijk dat deze trojan ook via andere technieken wordt verspreid. Over het algemeen wordt kwaadaardige software verspreid door gebruik te maken van phishing en social engineering tactieken.
De meest gebruikte verspreidingsmethoden zijn: drive-by (sluipende/bedrieglijke) downloads, schadelijke bijlagen/links in spammail (bijv. e-mails, PM's/DM's, SMS'jes, enz.), malvertising, online oplichting, onbetrouwbare downloadkanalen (bijv. freeware en sites van derden, Peer-to-Peer netwerken voor het delen van bestanden, enz.
Hoe vermijdt u de installatie van malware?
We raden sterk aan om software te onderzoeken door de voorwaarden en beoordelingen van gebruikers/experts te lezen, de nodige toestemmingen te controleren, de legitimiteit van de ontwikkelaar te verifiëren, enz. Daarnaast raden we aan om alleen te downloaden van officiële en geverifieerde bronnen.
Bovendien moeten alle programma's worden geactiveerd en bijgewerkt met behulp van legitieme functies/tools, aangezien illegale activeringstools ("cracking") en updaters van derden malware kunnen bevatten.
Een andere aanbeveling is om voorzichtig te zijn met inkomende e-mails, PM's/DM's, sms'jes en andere berichten. De bijlagen/links in verdachte of irrelevante e-mails mogen niet worden geopend omdat ze kwaadaardig kunnen zijn en systeeminfecties kunnen veroorzaken.
We adviseren ook om waakzaam te zijn tijdens het browsen omdat frauduleuze en gevaarlijke online inhoud meestal echt en onschuldig lijkt.
Het is van het grootste belang om een goede antivirus te installeren en up-to-date te houden. Deze software moet worden gebruikt om regelmatig systeemscans uit te voeren en om gedetecteerde bedreigingen en problemen te verwijderen.
Valse "Systeemupdate" RAT vraagt om toestemming (afbeeldingsbron - ESET):
Facebookpagina die een kwaadaardige site promoot die de valse "System Update" RAT verspreidt (bron: ESET):
Schadelijke website die de valse "System Update" RAT verspreidt:
Snelmenu:
- Introductie
- Hoe de browsergeschiedenis in de Chrome-webbrowser verwijderen?
- Hoe de browsermeldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsergeschiedenis in de Firefox-webbrowser verwijderen?
- Hoe de browsermeldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox webbrowser resetten?
- Hoe mogelijk ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het dataverbruik van verschillende applicaties controleren?
- Hoe de laatste software-updates installeren?
- Hoe het systeem terugzetten naar de fabrieksinstellingen?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel de browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat u de optie "Meldingen" ziet en tik erop.
U vindt de websites die browsermeldingen geven, tikt erop en klikt op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "BEHEER OPSLAG", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Merk op dat het resetten van de browser alle opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, standaardinstellingen en andere gegevens worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "VERWIJDER DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slot" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de toepassing "Firefox" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "VERWIJDER DATA" en bevestig de actie door op "VERWIJDEREN" te tikken. Merk op dat het resetten van de browser alle gegevens verwijdert die in de browser zijn opgeslagen. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, standaardinstellingen en andere gegevens worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde toepassing niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), moet u proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van schadelijke toepassingen die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de knop "Aan/uit" en houd deze ingedrukt totdat u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kunt u deze starten door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Verbindingen" ziet en tik erop.
Scroll naar beneden totdat u "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet u zowel het mobiele als Wi-Fi-gegevensverbruik controleren.
Als u een toepassing vindt die veel gegevens gebruikt, ook al gebruikt u deze nooit, dan raden wij u aan deze zo snel mogelijk te deïnstalleren.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden u ook aan om de optie "Download updates automatisch" in te schakelen - dan zal het systeem u op de hoogte stellen zodra er een update beschikbaar is en/of deze automatisch installeren.
Zet het systeem terug naar de fabrieksinstellingen:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de standaardinstellingen van het systeem te herstellen en het apparaat in het algemeen schoon te maken. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
U kunt ook de basissysteeminstellingen herstellen en/of gewoon de netwerkinstellingen.
Ga naar "Instellingen", scroll naar beneden totdat u "Over telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de fabrieksinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de fabrieksinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVEER".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met valse "System Update" RAT-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Nee, de meeste schadelijke programma's kunnen worden verwijderd zonder te formatteren.
Wat zijn de grootste problemen die nep "System Update" RAT malware kan veroorzaken?
De bedreigingen van malware zijn afhankelijk van de functionaliteiten en de doelen van de cybercriminelen. De nep "System Update" malware is een multifunctionele Remote Access Trojan (RAT) die uitgebreide spyware en stealer mogelijkheden heeft. Dergelijke infecties kunnen leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Wat is het doel van valse "System Update" RAT-malware?
In de meeste gevallen wordt malware gebruikt om inkomsten te genereren. Cybercriminelen kunnen deze programma's echter ook om andere redenen gebruiken, bijv. om zichzelf te vermaken, persoonlijke vendetta's uit te voeren, processen te verstoren (bijv. websites, diensten, bedrijven, enz.) en politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe is valse "System Update" RAT-malware mijn Android-apparaat binnengedrongen?
De RAT in kwestie is waargenomen vermomd als een app genaamd "System Update" en een app die beweerde 2022 FIFA World Cup gerelateerde content te leveren. Deze laatste werd verspreid via een Facebook-pagina met een WK-thema die een site promoot die de schadelijke applicatie verspreidt.
Er kunnen echter ook andere distributietechnieken worden gebruikt. De meest gebruikte zijn: drive-by downloads, online scams, spam e-mails en berichten, dubieuze downloadkanalen (bijv. freeware en gratis file-hosting websites, Peer-to-Peer sharing netwerken, etc.), illegale programma activatie tools ("cracks"), nep updaters en malvertising.
Uitmuntend!
▼ Toon discussie