Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat is GhostGrab?
GhostGrab is een Android-malware met een dubbele functie die financiële gegevens steelt en tegelijkertijd geïnfecteerde apparaten in het geheim gebruikt om cryptocurrency te minen. Het verzamelt inloggegevens voor bankieren, kaartgegevens en eenmalige codes (via onderschepte sms-berichten), neemt vingerafdrukken van apparaten en voert een verborgen miner uit. Als GhostGrab op een apparaat wordt gedetecteerd, moet het zo snel mogelijk worden verwijderd.
GhostGrab in detail
De aanval begint op een kwaadaardige website. Een script op die website leidt de browser automatisch om en zorgt ervoor dat er een kwaadaardige APK wordt gedownload. De gedownloade APK is de dropper, de eerste fase die wordt gebruikt om andere malware op het apparaat van het slachtoffer te injecteren. De dropper misleidt gebruikers met een vals "Update" scherm om toestemming te krijgen om apps rechtstreeks te installeren (in plaats van via Google Play).
Het laadt een externe webpagina in een WebView en simuleert een iOS-apparaat, dat kan worden gebruikt voor phishing of het weergeven van kwaadaardige advertenties. De malware registreert zich ook bij Firebase om externe opdrachten te ontvangen. Ten slotte start het een Monero-miner, waarmee cybercriminelen het apparaat kunnen gebruiken als een cryptocurrency-miner.
Module voor het stelen van bankgegevens
Bovendien injecteert de dropper van GhostGrab een payload voor het stelen van bankgegevens. Deze module kan meldingen lezen en vastleggen (inclusief eenmalige codes), de stille modus uitschakelen of wijzigen, telefoongesprekken voeren, verborgen diensten uitvoeren en bestanden en media op het apparaat lezen, kopiëren en wijzigen.
Bovendien kan de bankmodule valse of misleidende meldingen weergeven, toegang krijgen tot foto's, video's en audiobestanden, apparaat-ID's en telefoongegevens lezen en opgeslagen teksten lezen. Het kan ook inkomende sms-berichten (zoals OTP's) onderscheppen en teksten verzenden. De malware verbergt zichzelf zodat deze niet in het startprogramma van de telefoon verschijnt en stil op de achtergrond kan worden uitgevoerd.
GhostGrab kan valse bankpagina's weergeven en om persoonlijke gegevens vragen, zoals naam, telefoonnummer en rekeningnummer. Als de gebruiker de optie voor een debetkaart selecteert, vraagt het programma om het volledige kaartnummer, de vervaldatum, het CVV-nummer en de pincode voor geldautomaten. Als de gebruiker kiest voor internetbankieren, vraagt de malware om zijn gebruikers-ID, inlogwachtwoord en transactie-wachtwoord.
Elk formulier presenteert correct geformatteerde invoer, zodat de aanvaller nauwkeurige informatie krijgt die hij kan gebruiken om accounts over te nemen of geld te stelen. De malware verpakt al deze informatie in een gegevensbestand en uploadt dit naar een online database (Firebase), waardoor de aanvaller op afstand toegang krijgt tot deze gegevens.
SIM-gegevensdief
Bovendien kan de malware informatie stelen over de simkaarten en het mobiele netwerk van het apparaat. Dit omvat telefoonnummers, de naam van de provider, het unieke serienummer van de simkaart, de sleuf waarin elke simkaart zich bevindt, apparaat-ID's die aan het mobiele netwerk zijn gekoppeld en andere netwerkgerelateerde details.
GhostGrab kan ook alle inkomende tekstberichten onderscheppen. Het kopieert de inhoud van het bericht, de gegevens van de afzender en de identificatiegegevens van het apparaat en stuurt die informatie vervolgens naar de aanvaller. Het kan berichten ook rechtstreeks doorsturen naar het apparaat van de aanvaller of ze naar een opgegeven nummer sturen.
Het is belangrijk om op te merken dat GhostGrab in berichten kan zoeken naar termen die verband houden met bankieren, zoals 'transactie' en 'opnemen', waardoor aanvallers berichten met betrekking tot bankieren kunnen monitoren en transacties kunnen volgen.
Bovendien kan de malware het doorschakelen van oproepen op een geïnfecteerd apparaat in- of uitschakelen. Het belt speciale codes om inkomende oproepen door te schakelen naar een ander nummer (dat van de aanvaller), verbergt dat het dit heeft gedaan en kan belangrijke oproepen onderscheppen, zoals oproepen met betrekking tot eenmalige wachtwoorden.
| Naam | GhostGrab banking malware |
| Type bedreiging | Android-malware, Informatiedief, Cryptocurrency Miner |
| Detectienamen | Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aOZF), ESET-NOD32 (Een variant van Android/TrojanDropper.Agent.MUO), Kaspersky (HEUR:Trojan-Dropper. AndroidOS.Banker.bc), Volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden zonder toestemming van de gebruiker gewijzigd, er verschijnen verdachte applicaties, het gegevens- en batterijverbruik neemt aanzienlijk toe en er worden opdringerige advertenties weergegeven. |
| Distributiemethoden | Social engineering, kwaadaardige websites, misleidende applicaties. |
| Schade | Gestolen persoonlijke gegevens (privéberichten, logins/wachtwoorden, enz.), verminderde prestaties van het apparaat, batterij raakt snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, identiteitsdiefstal. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Conclusie
GhostGrab is een kwaadaardige Android-malware die zich op het apparaat verstopt, gevoelige informatie steelt en onopgemerkt op de achtergrond actief is. Het legt persoonlijke gegevens, bankgegevens, sms-berichten en simkaart-/netwerkgegevens vast en kan zelfs oproepen doorsturen of eenmalige wachtwoorden onderscheppen. Het gebruikt het apparaat ook om in het geheim cryptovaluta te minen voor aanvallers.
Andere voorbeelden van Android-stealers zijn Klopatra, Datzbro en PhantomCard.
Hoe is GhostGrab op mijn apparaat terechtgekomen?
GhostGrab wordt verspreid via een kwaadaardige website die een browser dwingt een dropper-APK te downloaden en vervolgens de gebruiker misleidt om deze te installeren. Slachtoffers worden door JavaScript van een kwaadaardige pagina omgeleid, waarna automatisch een APK wordt gedownload. De dropper toont vervolgens een vals Play Store-scherm met de melding 'Update' om gebruikers te misleiden en hen te laten installeren verborgen payloads buiten Google Play.
Hoe voorkom je de installatie van malware?
Installeer apps altijd vanuit de officiële Google Play Store of officiële websites en controleer beoordelingen. Klik niet op links in verdachte sms-berichten, e-mails of posts op sociale media. Werk het besturingssysteem en de applicaties regelmatig bij. Gebruik Google Play Protect en een gerenommeerde app voor mobiele beveiliging.
Vermijd ook interactie met advertenties, pop-ups en links op verdachte websites.
Malware vraagt om verschillende toestemmingen (bron: cyfirma.com):
GhostGrab toont valse formulieren om debetkaartgegevens te bemachtigen (bron: cyfirma.com):
De malware toont valse formulieren om internetbankgegevens te bemachtigen (bron: cyfirma.com):
Snelmenu:
- Inleiding
- Hoe verwijder ik de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
- Hoe reset ik de Chrome-webbrowser?
- Hoe verwijder ik de browsegeschiedenis uit de Firefox-webbrowser?
- Hoe schakel je browsermeldingen uit in de Firefox-webbrowser?
- Hoe reset ik de Firefox-webbrowser?
- Hoe verwijder je mogelijk ongewenste en/of schadelijke applicaties?
- Hoe start ik het Android-apparaat op in de "veilige modus"?
- Hoe kan ik het batterijverbruik van verschillende applicaties controleren?
- Hoe kan ik het dataverbruik van verschillende applicaties controleren?
- Hoe installeer ik de nieuwste software-updates?
- Hoe kan ik het systeem terugzetten naar de standaardinstellingen?
- Hoe schakel ik applicaties met beheerdersrechten uit?
Verwijder de browsegeschiedenis uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en resetten". Hierdoor worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen, verwijderd. Wanneer u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en zal deze u niet langer om toestemming vragen).
De Chrome-webbrowser opnieuw instellen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat bij het resetten van de browser alle daarin opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet ook opnieuw inloggen op alle websites.
Verwijder de browsegeschiedenis uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel browsermeldingen uit in de Firefox-webbrowser:
Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de URL-balk (het pictogram is niet noodzakelijkerwijs een "Slot") en selecteer "Site-instellingen bewerken".
In het geopende pop-upvenster selecteer je de optie "Meldingen" en tik je op "WISSEN".
De Firefox-webbrowser opnieuw instellen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat bij het resetten van de browser alle opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.
Verwijder mogelijk ongewenste en/of schadelijke applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld omdat u een foutmelding krijgt), kunt u de "Veilige modus" gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers hiervan weerhouden wanneer het apparaat "normaal" werkt).
Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo min mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en stroom te besparen. Een hoog batterijverbruik kan er daarom op wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Verbindingen" ziet en tik erop.
Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zo veel mogelijk te beperken. Dit betekent dat een enorm datagebruik kan duiden op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties mogelijk zijn ontworpen om alleen te werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele datagebruik als het wifi-datagebruik.
Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u ten zeerste aan om deze zo snel mogelijk te verwijderen.
Installeer de nieuwste software-updates:
Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van apparaten. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor wordt het systeem ingesteld om u te waarschuwen zodra er een update beschikbaar is en/of deze automatisch te installeren.
Het systeem terugzetten naar de standaardstatus:
Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen te herstellen naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat u "Over de telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
" Instellingen resetten" - herstel alle systeeminstellingen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadaardige applicatie beheerdersrechten krijgt, kan dit ernstige schade aan het systeem veroorzaken. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps die dat niet zouden moeten hebben, uitschakelen.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelingsscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat u "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "App's voor apparaatbeheer".
Identificeer applicaties die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".
Veelgestelde vragen (FAQ)
Mijn apparaat is geïnfecteerd met GhostGrab-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?
GhostGrab kan worden verwijderd door het apparaat terug te zetten naar de fabrieksinstellingen, maar hierdoor worden ook alle opgeslagen gegevens gewist. Probeer, voordat u deze stap neemt, het apparaat te scannen met een betrouwbare antivirus-app zoals Combo Cleaner.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan worden gebruikt om persoonlijke gegevens te stelen, systemen te beschadigen, bestanden te versleutelen, aanvallers op afstand toegang te geven, extra kwaadaardige tools te installeren en uiteindelijk financiële schade, identiteitsdiefstal, gegevensverlies en andere problemen te veroorzaken.
Wat is het doel van GhostGrab?
GhostGrab is ontworpen om in het geheim bank- en persoonlijke gegevens van Android-apparaten te stelen, berichten en telefoongesprekken te onderscheppen en een cryptocurrency-miner te starten.
Hoe is GhostGrab op mijn apparaat terechtgekomen?
Het is waarschijnlijk dat de malware afkomstig was van een kwaadaardige website die uw browser dwong een dropper-APK te downloaden en u vervolgens misleidde om deze te installeren. De dropper toonde vervolgens een vals Play Store-scherm met de melding 'Update' om u te dwingen verborgen payloads buiten Google Play te installeren.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan de meeste bekende malware identificeren en verwijderen, maar meer geavanceerde bedreigingen kunnen diep in het systeem verborgen zitten, waardoor een volledige scanscan van het apparaat noodzakelijk is.
Delen:
Facebook
X.com
LinkedIn
Link kopiëren
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie