Hoe verwijder je PromptSpy van geïnfecteerde apparaten

Wat voor soort malware is PromptSpy?

PromptSpy is Android-malware die gebruikmaakt van generatieve AI om zich in het systeem te nestelen. De malware maakt gebruik van Google Gemini om te analyseren wat er op het scherm van het geïnfecteerde apparaat verschijnt en om te bepalen hoe hij actief kan blijven in de lijst met recente apps. Hierdoor kan de malware op de achtergrond blijven draaien. Het belangrijkste doel is het installeren van een VNC-client waarmee aanvallers het scherm kunnen bekijken en het apparaat op afstand kunnen bedienen.

PromptSpy in detail

PromptSpy bevat een dropper en een payload die misbruik maakt van Google Gemini. Het maakt gebruik van Google Gemini om interactie te hebben met het scherm van de telefoon. In plaats van vaste scripts te gebruiken die op verschillende apparaten kunnen mislukken, stuurt het Gemini informatie over wat er op dat moment op het scherm te zien is. Gemini analyseert de schermelementen en geeft instructies terug over waar er getikt moet worden of welke actie er uitgevoerd moet worden. Hierdoor blijft de malware actief door zichzelf in de lijst met recente apps te houden, zelfs als de gebruiker probeert de app te sluiten.

Bovendien bevat PromptSpy een VNC-tool waarmee aanvallers volledige controle op afstand krijgen over een geïnfecteerde telefoon zodra het slachtoffer de toegankelijkheidsfuncties inschakelt. Hierdoor kunnen aanvallers het scherm bekijken en handelingen uitvoeren zoals tikken, vegen, gebaren maken en typen.

PromptSpy maakt gebruik van AI om de app bovenaan de lijst met recent gebruikte apps te houden. Hierdoor blijft de malware op de achtergrond actief en kan deze niet gemakkelijk worden gesloten. Deze functie wordt waarschijnlijk gebruikt voordat cybercriminelen de sessie voor bediening op afstand starten. Op deze manier blijft de app actief en is de kans kleiner dat het systeem of het slachtoffer deze stopzet.

Bovendien maakt PromptSpy misbruik van de toegankelijkheidsfuncties om te voorkomen dat gebruikers de app verwijderen. Wanneer het slachtoffer probeert de app te verwijderen of de toegankelijkheidsfuncties uit te schakelen, plaatst de malware onzichtbare vakjes over knoppen als "Stop", "Wissen" of "Verwijderen". Deze verborgen lagen blokkeren de aanrakingen van het slachtoffer, waardoor de knoppen niet kunnen worden ingedrukt.

Zodra de malware verbinding heeft gemaakt met een externe command-and-control-server, kan deze instructies ontvangen waarmee hij informatie kan verzamelen, zoals gegevens over geïnstalleerde en actieve apps, screenshots kan maken, het scherm kan opnemen en gegevens van het vergrendelingsscherm kan verzamelen. Daarnaast kan hij het patroon voor het ontgrendelen van het scherm vastleggen en detecteren of het scherm is ingeschakeld.

Conclusie

PromptSpy is een voorbeeld van hoe cybercriminelen AI-tools zoals Google Gemini zijn gaan gebruiken om malware krachtiger en moeilijker te stoppen te maken. Door AI-gestuurde scherminteractie te combineren met mogelijkheden voor bediening op afstand, kunnen cybercriminelen de malware actief houden en geïnfecteerde apparaten gemakkelijker beheren.

Andere voorbeelden van malware die zich op Android-apparaten richt, zijn Oblivion RAT, ZeroDayRAT en Arsink.

Hoe is PromptSpy op mijn apparaat terechtgekomen?

Cybercriminelen verspreiden PromptSpy via kwaadaardige websites die legitieme bankwebsites nabootsen. De pagina’s maken gebruik van de huisstijl en teksten van banken om een legitieme indruk te wekken. Op deze sites staan kwaadaardige Android-apps die zich voordoen als officiële bankapps. Wanneer een slachtoffer zo’n app installeert, fungeert deze als een dropper om de malware te installeren.

Het slachtoffer wordt gevraagd om installatie vanuit onbekende bronnen toe te staan, iets wat Android normaal gesproken om veiligheidsredenen blokkeert. Nadat toestemming is verleend, neemt de dropper contact op met een externe server en haalt daar een configuratiebestand op dat een link bevat om de PromptSpy-payload te downloaden.

De schadelijke code wordt gedownload als een andere APK en wordt gepresenteerd als een valse update. Na installatie vraagt het toestemming voor toegankelijkheidsdiensten en installeert het zijn schadelijke componenten, waaronder de VNC-module voor bediening op afstand.

Hoe voorkom je dat er malware wordt geïnstalleerd?

Zorg ervoor dat je besturingssysteem en apps up-to-date blijven, en download alleen software van officiële websites of betrouwbare app-winkels. Klik niet op verdachte advertenties, pop-ups of links op onbetrouwbare websites, en weiger meldingsverzoeken van dergelijke websites.

Wees voorzichtig met onverwachte e-mails of berichten – klik niet op links of open geen bijlagen daarin, tenzij u zeker weet dat ze geen kwaad in de zin hebben. Gebruik betrouwbare beveiligingssoftware om regelmatig scans uit te voeren die mogelijke bedreigingen kunnen opsporen en verwijderen.

PromptSpy vraagt het slachtoffer om de toegankelijkheidsfuncties in te schakelen (bron: welivesecurity.com):

Snelmenu:

• Inleiding
• Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
• Hoe reset je de Chrome-webbrowser?
• Hoe verwijder je de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je meldingen uit in de Firefox-webbrowser?
• Hoe reset je de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke programma’s?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe kun je het batterijverbruik van verschillende apps controleren?
• Hoe kunt u het dataverbruik van verschillende apps controleren?
• Hoe installeer ik de nieuwste software-updates?
• Hoe zet ik het systeem terug naar de fabrieksinstellingen?
• Hoe schakel je programma’s uit die beheerdersrechten hebben?

De browsegeschiedenis uit de Chrome-webbrowser verwijderen:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het dropdownmenu dat verschijnt.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies de periode en de soorten gegevens die je wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Browsermeldingen uitschakelen in de Chrome-webbrowser:

Tik op de knop "Menu" (de drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het dropdownmenu dat verschijnt.

Scroll naar beneden tot je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en resetten". Hiermee worden de machtigingen ingetrokken die aan deze websites zijn verleend om meldingen te versturen. Als je dezelfde site echter opnieuw bezoekt, kan er opnieuw om toestemming worden gevraagd. U kunt kiezen of u deze machtigingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar de sectie "Geblokkeerd" en zal deze u niet langer om toestemming vragen).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden tot je de app "Chrome" ziet, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen gebruikersnamen en wachtwoorden, de browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden gewist. U zult zich ook opnieuw moeten aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

De browsegeschiedenis uit de Firefox-webbrowser verwijderen:

Tik op de knop "Menu" (de drie puntjes rechtsboven in het scherm) en selecteer "Geschiedenis" in het dropdownmenu dat verschijnt.

Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de soorten gegevens die je wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Browsermeldingen uitschakelen in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de adresbalk (dit hoeft niet per se een "Slot" te zijn) en selecteer "Site-instellingen bewerken".

Selecteer in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden tot je de app "Firefox" ziet, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen gebruikersnamen en wachtwoorden, de browsegeschiedenis, aangepaste instellingen en andere gegevens worden verwijderd. Je zult je ook opnieuw moeten aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke programma’s:

Ga naar "Instellingen", scroll naar beneden tot je "Apps" ziet en tik erop.

Scroll naar beneden totdat je een mogelijk ongewenste en/of schadelijke app ziet, selecteer deze en tik op "Verwijderen". Als je de geselecteerde app om welke reden dan ook niet kunt verwijderen (bijvoorbeeld omdat je een foutmelding krijgt), kun je het beste de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in de "veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle apps van derden uit. Het gebruik van deze modus is een goede manier om diverse problemen op te sporen en op te lossen (bijvoorbeeld om schadelijke apps te verwijderen die je hieraan verhinderen wanneer het apparaat "normaal" functioneert).

Houd de knop "Power" ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze starten door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende apps:

Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het batterijverbruik van elke app. Legitieme apps zijn zo ontworpen dat ze zo min mogelijk energie verbruiken, om de beste gebruikerservaring te bieden en energie te besparen. Een hoog batterijverbruik kan er daarom op wijzen dat de app schadelijk is.

[Terug naar de inhoudsopgave]

Bekijk het dataverbruik van verschillende apps:

Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat je "Dataverbruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte apps zo ontworpen dat ze het dataverbruik zoveel mogelijk beperken. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van een kwaadaardige app. Houd er rekening mee dat sommige kwaadaardige apps zo zijn ontworpen dat ze alleen werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele als het wifi-dataverbruik.

Als je een app tegenkomt die veel data verbruikt, ook al gebruik je die nooit, raden we je ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het is een goede gewoonte om de software up-to-date te houden als het gaat om de veiligheid van je apparaat. De fabrikanten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en kijk of er updates beschikbaar zijn. Zo ja, installeer deze dan meteen. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor krijgt u een melding zodra er een update beschikbaar is en/of wordt deze automatisch geïnstalleerd.

[Terug naar de inhoudsopgave]

Zet het systeem terug naar de standaardinstellingen:

Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste apps te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden gewist, inclusief foto’s, video- en audiobestanden, telefoonnummers (die op het apparaat zijn opgeslagen, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden: het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden tot je "Over de telefoon" ziet en tik erop.

Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen terugzetten naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen terugzetten naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;

[Terug naar de inhoudsopgave]

Schakel toepassingen uit die beheerdersrechten hebben:

Als een schadelijke app beheerdersrechten krijgt, kan dit ernstige schade aan het systeem toebrengen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die deze rechten niet zouden mogen hebben.

Ga naar "Instellingen", scroll naar beneden tot je "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden tot je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apps met beheerdersrechten".

Zoek de apps die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met PromptSpy-malware. Moet ik mijn opslagapparaat formatteren om het te verwijderen?

Als u deze stap uitvoert, wordt PromptSpy verwijderd, maar worden ook alle gegevens gewist. Gebruik deze methode daarom alleen als laatste redmiddel. Het is raadzaam om eerst een volledige scan uit te voeren met betrouwbare beveiligingssoftware, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan toegang krijgen tot uw persoonlijke gegevens, aanvallers in staat stellen uw apparaat op afstand te bedienen, bestanden beschadigen (bijvoorbeeld door ze te versleutelen) of wissen, nog meer schadelijke apps installeren, de snelheid van het systeem verminderen, crashes veroorzaken en andere schadelijke activiteiten uitvoeren.

Wat is het doel van PromptSpy?

Het doel van PromptSpy is om aanvallers op afstand controle te geven over een geïnfecteerd Android-apparaat, terwijl het programma verborgen en actief blijft. Het verzamelt ook gevoelige informatie van het apparaat en zorgt ervoor dat gebruikers het niet gemakkelijk kunnen verwijderen.

Hoe is PromptSpy op mijn apparaat terechtgekomen?

PromptSpy verspreidt zich via valse bankwebsites waarop schadelijke Android-apps worden gehost. Wanneer een slachtoffer de app installeert en downloads van onbekende bronnen toestaat, wordt de PromptSpy-payload als een valse update gedownload. De malware vraagt vervolgens toegang tot de toegankelijkheidsdiensten en installeert componenten zoals de VNC-module voor bediening op afstand.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende malware opsporen en verwijderen. Aangezien geavanceerde bedreigingen zich diep in het systeem kunnen verschuilen, wordt aangeraden een volledige scan uit te voeren om ervoor te zorgen dat alle schadelijke componenten worden opgespoord en verwijderd.