Hoe de GoldDigger-malware verwijderen van geïnfecteerde Android-apparaten
Geschreven door Tomas Meskauskas op
Wat voor soort malware is GoldDigger?
GoldDigger is een Android Trojaans paard dat zich richt op financiële instellingen. Het is al operationeel sinds ten minste juni 2023. Dit Trojaanse paard camoufleert zichzelf als een nagemaakte Android-app en kan zowel een Vietnamees overheidsportaal als een lokaal energiebedrijf nabootsen, allemaal met het primaire doel om bankgegevens te stelen.
GoldDigger in detail
GoldDigger misbruikt Android's toegankelijkheidsdiensten om te communiceren met doel-apps, persoonlijke informatie te ontfutselen, bankgegevens te stelen, toetsaanslagen te loggen, 2FA-codes vast te leggen, sms-berichten te onderscheppen en nog veel meer. De aanvalsketen vertrouwt op valse websites die Google Play Store-pagina's en Vietnamese bedrijfssites nabootsen, mogelijk verspreid via phishingtactieken.
GoldDigger maakt gebruik van een geavanceerd beschermingsmechanisme, Virbox Protector, om detectie en analyse te omzeilen, waardoor het een uitdaging is om kwaadaardige activiteiten te ontketenen in sandboxes of emulators. GoldDigger manipuleert ook de Toegankelijkheidsdienst om controle te krijgen over gebruikersacties, waardoor op afstand toegang kan worden verkregen tot het apparaat van het slachtoffer.
Het controleert en extraheert gegevens van 51 financiële apps, e-wallets en crypto-apps in Vietnam en stuurt deze naar commando- en controleservers. Hoewel de volledige omvang van de mogelijkheden nog niet is bevestigd, brengt het aanzienlijke risico's met zich mee, waaronder het omzeilen van verificatie en toegang op afstand.
Mogelijke schade
Het hoofddoel van GoldDigger is het verzamelen van bankgegevens, waardoor cybercriminelen toegang kunnen krijgen tot de financiële rekeningen van slachtoffers, ongeautoriseerde transacties kunnen uitvoeren en mogelijk geld kunnen aftappen.
Door SMS-berichten te onderscheppen kan de trojan eenmalige wachtwoorden (OTP) of twee-factor authenticatie (2FA) codes onderscheppen die door banken worden verzonden voor extra beveiliging, waardoor aanvallers deze beveiligingsmaatregelen kunnen omzeilen.
GoldDigger heeft ook de mogelijkheid om toetsaanslagen te loggen, wat betekent dat het gebruikersnamen, wachtwoorden en andere gevoelige informatie die door het slachtoffer wordt ingevoerd kan vastleggen, waardoor de beveiliging verder in gevaar wordt gebracht.
Door de Toegankelijkheidsdienst te manipuleren, kan GoldDigger een achterdeur maken naar het apparaat van het slachtoffer, waardoor cybercriminelen op afstand toegang kunnen krijgen tot het aangetaste apparaat en het kunnen besturen, mogelijk voor verdere kwaadaardige activiteiten.
| Naam | GoldDigger Android malware |
| Type bedreiging | Android Trojaans paard |
| Namen van detectie | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.KPE), ESET-NOD32 (Een variant van Android/Packed.Jiagu.K mogelijk onveilig), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.lu), Volledige lijst (VirusTotal) |
| Verwante domeinen | cgovn[.]cc, egovn[.]cc, evnspa[.]cc, evnspc[.]cc, evnspe[.]cc, evnspo[.]cc, evnspr[.]cc, gdtgovn[.]com, govn[.]cc, vietcp[.]cc, vietgav[.]cc, vietgov[.]cc, vietgov0[.cc, vietgov1[.]cc, vietgov22[.]cc, vietgov3[.]cc, vietgov33[.]cc, vietgov4[.]cc, vietgov5[.]cc, vietgov6[.]cc, vietgovn[.]cc, viettgov[.]cc, vitgov[.]cc. |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen twijfelachtige toepassingen, het gegevens- en batterijverbruik neemt aanzienlijk toe, browsers worden omgeleid naar twijfelachtige websites, er worden opdringerige advertenties weergegeven. |
| Distributiemethoden | Misleidende websites (meestal nep Google Play sites), SMS phishing, frauduleuze e-mails, schadelijke online advertenties, social engineering, misleidende applicaties. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, enz.), verminderde prestaties van het apparaat, de batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldelijk verlies, gestolen identiteit en meer. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Conclusie
Concluderend kan worden gesteld dat GoldDigger een zeer geavanceerde en gevaarlijke Android Trojan is die zich richt op financiële organisaties, voornamelijk in Vietnam. Naarmate de mogelijkheden en het bereik van GoldDigger toenemen, is het cruciaal voor organisaties en individuen om waakzaam te blijven en robuuste cyberbeveiligingspraktijken toe te passen om de risico's van deze kwaadaardige Android Trojan en soortgelijke bedreigingen in het steeds veranderende bedreigingslandschap te beperken.
Voorbeelden van andere Trojaanse paarden die gericht zijn op Android-apparaten zijn Remo, Fleckpe en KEYSTEAL.
Hoe heeft GoldDigger mijn apparaat geïnfiltreerd?
De distributiemethode van GoldDigger is gebaseerd op bedrieglijke websites die zich voordoen als legitieme bronnen, voornamelijk vermomd als Google Play-pagina's en bedrijfswebsites in Vietnam. Om de malware te verspreiden, maken de Trojaanse exploitanten vermoedelijk gebruik van technieken zoals smishing (SMS phishing) of traditionele phishing om links naar deze frauduleuze websites te verspreiden.
Op deze schadelijke websites krijgen gebruikers verleidelijke downloadlinks voor Android-toepassingen te zien. Deze applicaties zijn in feite kwaadaardige APK's die zijn ontworpen om het apparaat van het slachtoffer te infecteren met GoldDigger.
Het is belangrijk om te weten dat alle Android-toestellen standaard een beveiligingsfunctie hebben die bekend staat als "Install from Unknown Sources" (Installeren vanaf onbekende bronnen). Deze functie is bedoeld om te voorkomen dat apps worden geïnstalleerd vanaf bronnen buiten de Google Play Store, waar apps meestal worden gecontroleerd op veiligheid.
De succesvolle installatie van GoldDigger hangt echter af van een kritieke factor: het apparaat van het slachtoffer moet de instelling "Install from Unknown Sources" hebben ingeschakeld. Als deze instelling is geactiveerd, kunnen apps van andere bronnen dan de officiële Google Play Store worden geïnstalleerd. Deze instelling wordt een poort voor GoldDigger om apparaten te infiltreren.
Hoe de installatie van malware vermijden?
Download apps alleen van officiële bronnen zoals de Google Play Store. Vermijd app-winkels van derden of het sideloaden van apps van onbekende websites, omdat de kans groter is dat deze malware bevatten. Let op de machtigingen van apps. Geef apps alleen de machtigingen die ze echt nodig hebben. Werk je Android-besturingssysteem en apps regelmatig bij.
Wees voorzichtig met het klikken op links in e-mails, tekstberichten of pop-upadvertenties. Controleer de bron en de echtheid van het bericht voordat je actie onderneemt. Overweeg om antivirus- of antimalware-apps van betrouwbare ontwikkelaars te installeren.
Verschijnen van websites (evnspa[.]cc; evnspc[.]cc; evnspe[.]cc; evnspo[.]cc; evnspr[.]cc) die gebruikt worden om GoldDigger trojan te verspreiden:
Verschijning van andere kwaadaardige websites (gdtgovn[.]com; ugovn[.]cc; vietcp[.]cc; vietgov6[.]cc; vitgov[.]cc) gebruikt voor het verspreiden van GoldDigger trojan:
Snelmenu:
- Inleiding
- Hoe verwijder ik browsegeschiedenis uit de Chrome-webbrowser?
- Hoe meldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsegeschiedenis uit de Firefox-webbrowser verwijderen?
- Hoe meldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox-webbrowser resetten?
- Hoe potentieel ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android-toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe de nieuwste software-updates installeren?
- Hoe het systeem resetten naar de standaardstatus?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Verwijder de browsegeschiedenis uit de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer de tab "ADVANCED", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde website echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden tot je de applicatie "Chrome" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEWERKEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "CLEAR DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slotje" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden tot u de applicatie "Firefox" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Merk op dat het resetten van de browser alle gegevens die erin zijn opgeslagen zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een potentieel ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als je om de een of andere reden de geselecteerde applicatie niet kunt verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de "Aan/uit"-knop en houd deze ingedrukt totdat het scherm "Uitschakelen" verschijnt. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.
Scroll naar beneden tot je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensgebruik controleren.
Als je een applicatie vindt die veel data verbruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te deïnstalleren.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Download updates automatisch" in te schakelen - hierdoor zal het systeem je verwittigen zodra er een update is uitgebracht en/of deze automatisch installeren.
Stel het systeem terug naar de standaardstatus:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig wissen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde Vragen (FAQ)
Mijn apparaat is geïnfecteerd met GoldDigger malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
In plaats van onmiddellijk je toevlucht te nemen tot de drastische maatregel om je opslagapparaat te formatteren, raden we aan om gerenommeerde antivirus en anti-malware tools zoals Combo Cleaner te gebruiken om de GoldDigger malware te verwijderen.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan gegevensdiefstal, systeemstoring, financieel verlies, netwerkschade, reputatieschade, juridische problemen, uitputting van bronnen, gegevensversleuteling en nog veel meer veroorzaken.
Wat is het doel van GoldDigger?
Het primaire doel van GoldDigger is om financiële organisaties aan te vallen en gevoelige informatie te stelen, met name bankgegevens. Deze Android Trojan infiltreert de apparaten van slachtoffers, doet zich voor als legitieme applicaties en misbruikt de Accessibility Service om toegang te krijgen tot gebruikersgegevens, waaronder rekeningsaldi en two-factor authenticatiegegevens.
Hoe is GoldDigger in mijn apparaat geïnfiltreerd?
GoldDigger heeft je apparaat waarschijnlijk geïnfiltreerd via bedrieglijke middelen. Het verspreidt zich via valse websites die zich voordoen als Google Play-pagina's en valse bedrijfswebsites in Vietnam. Cybercriminelen verspreiden links naar deze websites via smishing (SMS phishing), traditionele phishingtactieken of andere manieren. Om een apparaat succesvol te infecteren, moet de instelling "Install from Unknown Sources" (Installeren vanuit onbekende bronnen) zijn ingeschakeld op het Android-apparaat van het slachtoffer.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan de meeste malware-infecties vinden en verwijderen, maar uitzonderlijk geavanceerde malware kan zich diep in het systeem verbergen, waardoor een uitgebreide systeemscan essentieel is voor de succesvolle detectie en verwijdering van verborgen bedreigingen.
Uitmuntend!
▼ Toon discussie