Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is Glitch SPY?
Glitch SPY is een Android Remote Access Trojan (RAT) die meer dan 70 commando's kan uitvoeren op geïnfecteerde apparaten. Geanalyseerd door Cyble Research and Intelligence Labs, wordt het verspreid via een frauduleus Pools platform voor appartementverhuur dat gebruikers verleidt tot het sideloaden van een schadelijke APK. Eenmaal geïnstalleerd geeft Glitch SPY aanvallers volledige controle over het apparaat van het slachtoffer, waardoor alles mogelijk wordt van realtime surveillance tot financiële diefstal.

Overzicht van Glitch SPY RAT malware
Glitch SPY wordt verspreid via een frauduleuze website (tutaj-dompl[.]com) die zich voordoet als een legitieme Poolse appartementverhuurdienst. Bezoekers worden verleid tot het downloaden van wat lijkt op een mobiele app, maar de link leidt naar een kwaadaardige APK in plaats van een echte applicatie.
Het gedownloade bestand is niet Glitch SPY zelf, maar een dropper die bekendstaat als de Brokewell Android Loader. Deze toont een nep updatescherm en overtuigt de gebruiker om installatie vanuit onbekende bronnen in te schakelen, en installeert vervolgens stilletjes de Glitch SPY-payload op de achtergrond.
Zodra Glitch SPY is geïnstalleerd, misbruikt het de Toegankelijkheidsdiensten van Android om diepe controle op systeemniveau te verkrijgen. Hierdoor kan de malware het verlenen van machtigingen automatiseren, met de apparaatinterface interageren en acties uitvoeren zonder verdere invoer van het slachtoffer.
De RAT ondersteunt meer dan 70 commando's, waardoor het tot de meer capabele Android-bedreigingen behoort. Bewakingsfuncties omvatten livestreamen van het scherm, het maken van schermafbeeldingen, keylogging en het extraheren van tekst via schermlezers. De camera en microfoon kunnen ook op afstand worden geactiveerd voor audio- en videobewaking.
De mogelijkheden voor gegevensdiefstal zijn uitgebreid. Glitch SPY verzamelt sms-berichten, contacten, oproeplogboeken, apparaataccountgegevens, gps-locatie en een lijst met geïnstalleerde applicaties. Ook de inhoud van het klembord wordt gemonitord, wat direct wordt gebruikt door de crypto-clipping-functie van de malware.
De crypto-clipper vervangt stilletjes cryptovaluta-portemonnee-adressen door adressen die worden beheerd door de aanvaller, over meerdere blockchain-formaten heen. Elke betaling die het slachtoffer probeert te verzenden gaat naar de crimineel in plaats van de beoogde ontvanger.
Glitch SPY bevat ook een verborgen browser - een off-screen component die in staat is om webgebaseerde accountovernames uit te voeren vanaf het eigen apparaat en IP-adres van het slachtoffer. Aangezien verzoeken afkomstig zijn van de telefoon van het slachtoffer, is de kans kleiner dat fraudedetectiesystemen die onbekende apparaten of locaties markeren de activiteit opmerken.
Bestandsbewerkingen completeren de toolset van de malware. Glitch SPY kan bestanden op het apparaat beheren, uploaden en uitvoeren en kan gegevens versleutelen of ontsleutelen met AES/GCM-versleuteling. Alle command-and-control-communicatie verloopt via permanente WebSocket-verbindingen naar twee bekende servers.
De ondersteunende infrastructuur omvat een beheerderspaneel met modules voor het bouwen van nieuwe payloads, het beheren van geïnfecteerde apparaten, het uitvoeren van een cryptor en het configureren van campagnes. Dit wijst erop dat Glitch SPY is ontworpen als een platform voor meerdere campagnes in plaats van een eenmalig hulpmiddel.
Het is vermeldenswaard dat ontwikkelaars van malware hun software routinematig bijwerken en verbeteren, dus toekomstige versies van Glitch SPY kunnen aanvullende of andere mogelijkheden bevatten. Samengevat kan het hebben van deze RAT op een apparaat leiden tot ernstige privacyschendingen, financiële verliezen, accountovernames en identiteitsdiefstal.
| Naam | Glitch SPY remote access trojan |
| Type Bedreiging | Android-malware, kwaadaardige applicatie, Remote Access Trojan, Remote Administration Tool, RAT. |
| Detectienamen | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.NU), ESET-NOD32 (Android/Spy.Agent.GIE Trojan), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Volledige Lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, twijfelachtige applicaties verschijnen, data- en batterijgebruik nemen aanzienlijk toe, browsers worden omgeleid naar twijfelachtige websites, opdringerige advertenties worden getoond. |
| Distributiemethoden | Kwaadaardige websites, frauduleuze APK-downloads, social engineering. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, enz.), verminderde apparaatprestaties, batterij raakt snel leeg, verminderde internetsnelheid, enorme dataverliezen, geldelijke verliezen, gestolen identiteit (kwaadaardige apps kunnen communicatie-apps misbruiken). |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Voorbeelden van Android-specifieke remote access trojans
Glitch SPY is een opvallend geavanceerde RAT, die een dropper-gebaseerde leveringsketen, uitgebreid misbruik van de Toegankelijkheidsdienst en een verborgen browser voor stiekeme accountovername combineert. Dat gezegd hebbende, deelt het hetzelfde onderliggende bedreigingsmodel als veel Android-RAT's waarvan de primaire doelen bewaking en financiële fraude zijn.
Voorbeelden van vergelijkbare op Android gerichte remote access trojans zijn BTMOB, Mirax en SURXRAT. Al deze bedreigingen kunnen ernstige schade veroorzaken en het snel verwijderen met een betrouwbaar beveiligingshulpmiddel wordt sterk aanbevolen.
Hoe is Glitch SPY RAT mijn apparaat binnengedrongen?
Glitch SPY bereikt slachtoffers via een nep Poolse appartementverhuursite (tutaj-dompl[.]com). De site doet zich voor als een legitiem vastgoedplatform en promoot een download van een mobiele app, maar het bestand dat wordt aangeboden is een kwaadaardige APK, geen echte applicatie.
Die APK bevat de Brokewell Android Loader, een dropper die een overtuigend nep updatescherm toont. Deze vraagt toestemming om apps vanuit onbekende bronnen te installeren, en zodra dit is verleend, levert het stilletjes de Glitch SPY-payload op de achtergrond af.
Na installatie vraagt de nep-app toegang tot de Toegankelijkheidsdiensten van Android. Het verlenen van deze machtiging geeft de malware diepe controle over het apparaat en voltooit de infectie.
Meer in het algemeen verspreidt Android-malware zich ook via phishing-campagnes, onofficiële app-winkels en nep verzoeken voor software-updates. Elke applicatie die buiten officiële kanalen wordt verkregen brengt een verhoogd risico met zich mee.
Hoe kunt u de installatie van malware voorkomen?
Download apps uitsluitend uit de officiële Google Play Store of geverifieerde ontwikkelaarssites. De instelling "Installeren vanuit onbekende bronnen" moet in vrijwel alle situaties uitgeschakeld blijven - het is de primaire toegangspoort die bedreigingen zoals Glitch SPY gebruiken om de ingebouwde beveiligingsbescherming van Android te omzeilen.
Controleer vóór het installeren van een app de machtigingen en bekijk de gebruikersrecensies. Wees voorzichtig met vastgoedplatforms, bankapps of andere financiële diensten die via advertenties of ongevraagde links worden gepromoot. Het bijhouden van Android en alle geïnstalleerde apps, gecombineerd met een gerenommeerd mobiel beveiligingshulpmiddel, vermindert de kans op infectie aanzienlijk.
Schermafbeeldingen van het distributie- en installatieproces van de Glitch SPY RAT (bron: cyble.com):

Schermafbeelding van de nep Tutaj Dompl-website die wordt gebruikt om Glitch SPY te verspreiden:

Schermafbeelding van het webbeheerderspaneel van de Glitch SPY RAT:

Snelmenu:
- Inleiding
- Hoe verwijdert u de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Chrome-webbrowser?
- Hoe reset u de Chrome-webbrowser?
- Hoe verwijdert u de browsegeschiedenis uit de Firefox-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Firefox-webbrowser?
- Hoe reset u de Firefox-webbrowser?
- Hoe verwijdert u potentieel ongewenste en/of kwaadaardige applicaties?
- Hoe start u het Android-apparaat op in "Veilige modus"?
- Hoe controleert u het batterijgebruik van verschillende applicaties?
- Hoe controleert u het datagebruik van verschillende applicaties?
- Hoe installeert u de nieuwste software-updates?
- Hoe reset u het systeem naar de standaardstatus?
- Hoe schakelt u applicaties uit die beheerdersrechten hebben?
Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypes die u wilt verwijderen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll omlaag tot u de optie "Site-instellingen" ziet en tik erop. Scroll omlaag tot u de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en resetten". Hiermee worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen verwijderd. Zodra u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om een machtiging vragen. U kunt kiezen of u deze machtigingen wel of niet verleent (als u kiest om te weigeren gaat de website naar de sectie "Geblokkeerd" en zal u niet langer om de machtiging vragen).
Reset de Chrome-webbrowser:

Ga naar "Instellingen", scroll omlaag tot u "Apps" ziet en tik erop.

Scroll omlaag tot u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", dan op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. U zult zich ook opnieuw moeten aanmelden bij alle websites.
Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll omlaag tot u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypes die u wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel browsermeldingen uit in de Firefox-webbrowser:

Bezoek de website die browsermeldingen verstuurt, tik op het pictogram dat links van de URL-balk wordt weergegeven (het pictogram zal niet noodzakelijkerwijs een "Slot" zijn) en selecteer "Site-instellingen bewerken".

Selecteer in de geopende pop-up de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox-webbrowser:

Ga naar "Instellingen", scroll omlaag tot u "Apps" ziet en tik erop.

Scroll omlaag tot u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. U zult zich ook opnieuw moeten aanmelden bij alle websites.
Verwijder potentieel ongewenste en/of kwaadaardige applicaties:

Ga naar "Instellingen", scroll omlaag tot u "Apps" ziet en tik erop.

Scroll omlaag tot u een potentieel ongewenste en/of kwaadaardige applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld wanneer u een foutmelding krijgt), moet u proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk het uitvoeren van alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld kwaadaardige applicaties verwijderen die u dat beletten wanneer het apparaat "normaal" draait).

Druk op de knop "Aan/uit" en houd deze ingedrukt tot u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Veilige modus" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijgebruik van verschillende applicaties:

Ga naar "Instellingen", scroll omlaag tot u "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en om stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het datagebruik van verschillende applicaties:

Ga naar "Instellingen", scroll omlaag tot u "Verbindingen" ziet en tik erop.

Scroll omlaag tot u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zoveel mogelijk te minimaliseren. Dit betekent dat een enorm datagebruik kan wijzen op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties zo kunnen zijn ontworpen dat ze alleen werken wanneer het apparaat is verbonden met een draadloos netwerk. Daarom moet u zowel het mobiele als het wifi-datagebruik controleren.

Als u een applicatie vindt die veel data gebruikt hoewel u deze nooit gebruikt, dan raden we u ten zeerste aan deze zo snel mogelijk te verwijderen.
Installeer de nieuwste software-updates:
Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van het apparaat. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs op te lossen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, en daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll omlaag tot u "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen - hiermee kan het systeem u op de hoogte stellen zodra een update wordt uitgebracht en/of deze automatisch installeren.
Reset het systeem naar de standaardstatus:
Het uitvoeren van een "Fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen. U moet er echter rekening mee houden dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
U kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll omlaag tot u "Over de telefoon" ziet en tik erop.

Scroll omlaag tot u "Resetten" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen terugzetten naar de standaard;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen terugzetten naar de standaard;
"Fabrieksinstellingen herstellen" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel applicaties uit die beheerdersrechten hebben:
Als een kwaadaardige applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de rechten uitschakelen van de apps die deze niet zouden moeten hebben.

Ga naar "Instellingen", scroll omlaag tot u "Vergrendelscherm en beveiliging" ziet en tik erop.

Scroll omlaag tot u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".

Identificeer applicaties die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met Glitch SPY RAT malware, moet ik mijn opslagapparaat formatteren om het te verwijderen?
Formatteren is zelden nodig om Android-malware te verwijderen. Het uitvoeren van een gerenommeerde mobiele beveiligingsapplicatie zoals Combo Cleaner zou voldoende moeten zijn om Glitch SPY van uw apparaat te detecteren en te elimineren.
Wat zijn de grootste problemen die Glitch SPY RAT malware kan veroorzaken?
Glitch SPY geeft aanvallers bijna volledige controle over een geïnfecteerd apparaat. Het kan sms-berichten, contacten en accountgegevens stelen, toetsaanslagen loggen, audio en video vastleggen en de inhoud van het klembord monitoren.
De crypto-clipper van de malware leidt cryptovalutabetalingen stilletjes om naar door de aanvaller beheerde portemonnees. Het verborgen browsercomponent kan ook accountovernames uitvoeren rechtstreeks vanaf het apparaat van het slachtoffer, waarbij veel fraudedetectiesystemen worden omzeild.
Wat is het doel van Glitch SPY RAT malware?
De meeste malware wordt gedreven door financieel gewin. De crypto-clipping- en gegevensdiefstalfuncties van Glitch SPY suggereren dat winst het primaire motief is, hoewel aanvallers het ook kunnen gebruiken voor gerichte spionage, het volgen van individuen of andere persoonlijke redenen.
Hoe is Glitch SPY RAT malware mijn Android-apparaat binnengedrongen?
Glitch SPY wordt verspreid via een nep Poolse appartementverhuurwebsite. Bezoekers worden misleid om een kwaadaardige APK te downloaden die de Brokewell Android Loader bevat, die Glitch SPY stilletjes installeert terwijl het doet alsof het een legitieme app-update uitvoert.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner is in staat om vrijwel alle bekende malware-infecties te detecteren en te elimineren. Het uitvoeren van een volledige systeemscan wordt aanbevolen, aangezien geavanceerde bedreigingen zoals Glitch SPY zich vaak diep in het apparaat nestelen.
Delen:
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie