Verwijderingsinstructies voor CherryBlos Android-malware
Geschreven door Tomas Meskauskas op
Wat voor soort malware is CherryBlos?
CherryBlos is de naam van een malware die gericht is op Android-besturingssystemen. Dit schadelijke programma is geclassificeerd als een stealer en een clipper. Het werkt door cryptowalletgegevens te extraheren/infiltreren en cryptocurrency-transacties om te leiden naar portemonnees die eigendom zijn van de aanvallers.
Er zijn ten minste vier nep-apps geïdentificeerd die worden gebruikt om CherryBlos in apparaten te infiltreren. Er zijn verschillende technieken gebruikt om deze toepassingen te promoten.
Het is relevant om te vermelden dat CherryBlos is gekoppeld aan een andere malwarecampagne met de naam FakeTrade. Deze operatie bestaat uit frauduleuze geldverdienende apps die geldelijke beloningen beloven voor winkelen of andere taken. Slachtoffers kunnen hun verdiensten echter niet verzilveren.
FakeTrade-toepassingen werden gehost in de Google Play Store, maar de bekende toepassingen zijn op het moment van schrijven verwijderd. Deze campagne richtte zich wereldwijd op gebruikers, waaronder Maleisië, Mexico, Indonesië, de Filippijnen, Oeganda en Vietnam.
Overzicht CherryBlos malware
In de meeste gevallen vertrouwt Android-specifieke malware op de toegankelijkheidsdiensten van deze besturingssystemen en CherryBlos is daarop geen uitzondering.
Zodra de schadelijke toepassing wordt geopend, krijgt het slachtoffer een pop-up te zien met het verzoek om de Android-toegankelijkheidsdiensten in te schakelen. De malware kan ook een officiële website weergeven als extra maatregel om de indruk van legitimiteit te wekken.
De toegankelijkheidsdiensten zijn ontworpen om gebruikers te helpen die hulp nodig hebben bij de interactie met hun apparaten. Deze services kunnen verschillende acties uitvoeren, zoals het lezen van het scherm van het apparaat, het simuleren van het aanraakscherm en toetsenbord, enz. Kwaadwillende software die misbruik maakt van deze services, krijgt dus de beschikking over hun mogelijkheden.
CherryBlos gebruikt bijvoorbeeld de Android Accessibility Services om zichzelf automatisch rechten te geven wanneer het systeem daarom vraagt.
Deze malware maakt ook gebruik van andere anti-detectie en persistentie-verzorgende technieken. Het vertrouwt op andere tools voor privileges voor werking op de achtergrond, vrijstelling van batterijoptimalisatieprocessen (d.w.z., omzeilen van uitschakeling als het niet actief wordt gebruikt), enz. CherryBlos kan de gebruiker ook naar het beginscherm sturen wanneer ze de instellingen van de applicatie openen - wat een poging kan zijn om te voorkomen dat het slachtoffer het proces van de app beëindigt of verwijdert.
CherryBlos verkrijgt de lijst met cryptocurrency-gerelateerde toepassingen die op het apparaat zijn geïnstalleerd. Vervolgens stuurt het de namen van de interessante apps naar zijn C&C (Command and Control) server en haalt er valse interfaces voor op.
Wanneer de gebruiker vervolgens een legitieme crypto-app opent (bijv. BitKeep, Binance, enz.), krijgt hij een phishing-interface te zien. Het valse scherm registreert dan de inloggegevens die het slachtoffer heeft ingevoerd (bijv. ID's, gebruikersnamen, wachtwoorden, wachtzinnen, etc.).
CherryBlos kan ook een andere techniek gebruiken om inloggegevens te verkrijgen. De malware is in staat om mediabestanden in externe opslag te doorzoeken en als er dan een potentiële wachtwoordzin wordt gevonden, zal CherryBlos met behulp van OCR (Optical Character Recognition) de tekens van de afbeelding omzetten in tekst en deze naar de C&C server sturen.
Zoals vermeld in de inleiding, heeft CherryBlos ook clipper-functionaliteiten. Met deze functies kan het programma de adressen van cryptocurrency portemonnees vervangen door die van cryptowallets die in het bezit zijn van cybercriminelen. Voor de clipperactiviteiten van CherryBlos worden ook frauduleuze interfaces gebruikt.
Dus wanneer de gebruiker interageert met wat hij denkt dat een echte cryptocurrency-gerelateerde app is, heeft hij in feite te maken met een valse overlay. En terwijl het slachtoffer een cryptocurrency-opname doet, wordt het bedoelde portefeuilleadres vervangen - de overlay blijft echter het proces tonen met de ingevoerde referenties en volgt de standaardprocedure. Hierdoor draagt het slachtoffer onbewust de cryptocurrency over aan de aanvallers.
CherryBlos kan de transacties van de volgende cryptocurrencies omleiden: Tether (USDT), USD Coin (USDC), Ethereum (ETH), Binance coin (BNB), Bitcoin (BTC) en TRON (TRX).
Samengevat kan de aanwezigheid van software zoals CherryBlos op apparaten leiden tot ernstige privacyproblemen en aanzienlijke financiële verliezen.
Bovendien hebben slachtoffers door de vrijwel onomkeerbare aard van cryptocurrency-transacties vrijwel geen kans om gestolen geld terug te krijgen.
| Naam | CherryBlos virus |
| Type bedreiging | Android-malware, stealer, malware voor het stelen van wachtwoorden, clipper, malware voor het vervangen van cryptowalletadressen, schadelijke toepassing. |
| Namen van detectie | ESET-NOD32 (Een variant van Android/Packed.Jiagu.H Pot), Fortinet (Riskware/PackagingUntrustworthyJiagu!A), Ikarus (PUA.AndroidOS.Jiagu), Kaspersky (UDS:Trojan.AndroidOS.Piom.ayht), Volledige lijst (VirusTotal) |
| Doelcryptocurrencies | Tether (USDT), USD Coin (USDC), Ethereum (ETH), Binance coin (BNB), Bitcoin (BTC), TRON (TRX) |
| Cybercriminele cryptowallet-adressen | TRcSgdsPZAmqRZofLnuWc5t6tRm6v7FZfR (USDT/USDC, TRX), 0x7cb460e143c4ae66b30397372be020c09fbdff3e (USDT/USDC, ETH, BNB), 1MstmvhmcRbMvcknmXwW81fmoenTozTWVF (BTC) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, gegevens- en batterijverbruik nemen aanzienlijk toe. |
| Verspreidingsmethoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen cryptocurrency, financieel verlies, gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, etc.), verminderde apparaatprestaties, de batterij raakt snel leeg, verminderde internetsnelheid, enorm gegevensverlies, gestolen identiteit (kwaadwillende apps kunnen communicatie-apps misbruiken). |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Android-gerichte malware voorbeelden
We hebben honderden op Android gerichte schadelijke programma's geanalyseerd en onderzocht; CriminalBot, WyrmSpy, DragonEgg, FantasyMW, en SpinOk zijn slechts enkele van onze nieuwste artikelen over malware die gericht is op genoemde besturingssystemen.
Kwaadaardige software kan zeer veelzijdig zijn; het kan zowel een stealer als clipper hebben en verschillende andere functionaliteiten. Maar hoe malware ook werkt - de aanwezigheid ervan op een systeem brengt de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar. Daarom moeten alle bedreigingen onmiddellijk na ontdekking worden geëlimineerd.
Hoe heeft CherryBlos mijn apparaat geïnfiltreerd?
Op het moment van onderzoek zijn er vier valse CherryBlos apps ontdekt: Robot 999, Happy Miner, SynthNet en GPTalk.
Robot 999 en Happy Miner worden gepresenteerd als tools waarmee gebruikers de systeembronnen van het apparaat kunnen gebruiken om cryptocurrency te delven. De eerste is getraceerd naar een Telegram-groep genaamd "Ukraine ROBOT", die berichten over cryptomining host. De profielbeschrijving van deze groep bevat een link naar een kwaadaardige website waar CherryBlos (vermomd als "Robot 999") kan worden gedownload.
Een andere nepapplicatie - SynthNet - wordt gepromoot als een gedecentraliseerd AI-computerplatform dat individuen/organisaties in staat stelt om de systeembronnen van hun apparaten te gebruiken voor verdere AI-ontwikkeling. De downloadlink van deze nep-app is onderschreven via een beschrijving op een YouTube-video (gehost op een mogelijk gestolen account) en via Telegram-kanalen en Twitter-accounts.
Daarnaast is SynthNet aangetroffen op Google Play; deze variant bevatte echter geen malware. Het is mogelijk dat deze versie in de toekomst wordt gekoppeld aan CherryBlos.
Hoewel het gebruik van legitieme platforms om malware te verspreiden een kortstondige distributiemethode is, komt het toch veel voor onder cybercriminelen. Een goed voorbeeld is de FakeTrade-campagne die in verband wordt gebracht met de criminelen achter CherryBlos. Applicaties gekoppeld aan FakeTrade werden verspreid via de Google Play Store.
GPTalk - deze hoax ChatGPT applicatie werd verspreid via een nep Twitter account.
Het is echter opmerkelijk dat CherryBlos ook via andere vermommingen en technieken kan worden verspreid.
Naast misbruik van echte app-downloadbronnen en promotie via gehackte/gestolen sociale mediaplatforms, wordt malware vaak verspreid via schadelijke bijlagen en links in spammail (bijv, e-mails, PM's/DM's, sms'jes, etc.), drive-by (sluipende/bedrieglijke) downloads, online oplichting, malvertising, dubieuze downloadkanalen (bijv. freeware en gratis websites voor het hosten van bestanden, app-winkels van derden, P2P-delende netwerken, etc.), illegale inhoud, illegale softwareactiveringsprogramma's ("cracking") en valse updates.
Bovendien kunnen sommige schadelijke programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Hoe voorkomt u de installatie van malware?
We raden ten zeerste aan om software te onderzoeken door de voorwaarden en beoordelingen van gebruikers/experts te lezen, de nodige toestemmingen te controleren en de legitimiteit van de ontwikkelaar te verifiëren. Bovendien moeten alle downloads afkomstig zijn van officiële en betrouwbare bronnen.
Bovendien moeten alle programma's worden geactiveerd en bijgewerkt met functies/tools van legitieme ontwikkelaars, omdat die van derden malware kunnen bevatten.
Een andere aanbeveling is om voorzichtig te zijn tijdens het browsen, omdat frauduleuze en gevaarlijke online inhoud meestal echt en onschuldig lijkt. We raden ook aan om voorzichtig te zijn met inkomende e-mails en andere berichten. Bijlagen of links in verdachte e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.
We moeten benadrukken hoe belangrijk het is om een goede antivirus te installeren en up-to-date te houden. Met beveiligingssoftware moeten regelmatig systeemscans worden uitgevoerd en gedetecteerde bedreigingen worden verwijderd.
Verschijning van CherryBlos malware onder het mom van de SynthNet app:
Verschijning van CherryBlos malware (SynthNet) download link gepromoot in de beschrijving van een YouTube-video:
Snelmenu:
- Inleiding
- Hoe verwijder ik browsegeschiedenis uit de Chrome-webbrowser?
- Hoe meldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsegeschiedenis uit de Firefox-webbrowser verwijderen?
- Hoe meldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox-webbrowser resetten?
- Hoe potentieel ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android-toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe de nieuwste software-updates installeren?
- Hoe het systeem resetten naar de standaardstatus?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Verwijder de browsegeschiedenis uit de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer de tab "ADVANCED", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde website echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden tot je de applicatie "Chrome" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEWERKEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "CLEAR DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slotje" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden tot u de applicatie "Firefox" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Merk op dat het resetten van de browser alle gegevens die erin zijn opgeslagen zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een potentieel ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als je om de een of andere reden de geselecteerde applicatie niet kunt verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de "Aan/uit"-knop en houd deze ingedrukt totdat het scherm "Uitschakelen" verschijnt. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.
Scroll naar beneden tot je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensgebruik controleren.
Als je een applicatie vindt die veel data verbruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te de-installeren.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Download updates automatisch" in te schakelen - hierdoor zal het systeem je verwittigen zodra er een update wordt uitgebracht en/of deze automatisch installeren.
Stel het systeem terug naar de standaardstatus:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met CherryBlos malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
De meeste schadelijke programma's kunnen worden verwijderd zonder te formatteren.
Wat zijn de grootste problemen die CherryBlos malware kan veroorzaken?
De bedreigingen van malware hangen af van de mogelijkheden en de modus operandi van de cybercriminelen. CherryBlos is ontworpen om inloggegevens van cryptowachtportefeuilles te stelen en opnames van cryptocurrency om te leiden naar de portemonnee van de aanvaller. Daarom kunnen slachtoffers van deze malware ernstige privacyproblemen en financiële verliezen ervaren.
Wat is het doel van CherryBlos malware?
De meeste kwaadaardige programma's worden gebruikt om inkomsten te genereren en de functionaliteiten van CherryBlos bevestigen dit. Cybercriminelen kunnen malware echter ook gebruiken om zichzelf te amuseren, persoonlijke vendetta's uit te voeren, processen te verstoren (bijv. sites, diensten, bedrijven, enz.) en zelfs politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe heeft CherryBlos malware mijn Android-apparaat geïnfiltreerd?
CherryBlos wordt verspreid onder het mom van legitieme/onschuldig klinkende apps (bijv. Robot 999, Happy Miner, SynthNet, GPTalk, enz.), die werden verspreid via schadelijke sites die werden gepromoot op YouTube-videobeschrijvingen, Twitter en Telegram.
Andere distributiemethoden zijn echter niet onwaarschijnlijk. De meest voorkomende technieken zijn: spam mail, online scams, malvertising, dubieuze downloadbronnen (bijv. freeware en sites van derden, P2P sharing netwerken, enz.), illegale programma activatie tools ("cracks") en valse updates.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan van het grootste belang is - aangezien geavanceerde kwaadaardige programma's zich meestal diep in systemen verbergen.
Uitmuntend!
▼ Toon discussie