Entfernungsanleitung für die auf Android-abzielende Malware Elibomi
Verfasst von Tomas Meskauskas am (aktualisiert)
Was ist Elibomi?
Elibomi ist eine multifunktionale Malware, die auf Android-Betriebssysteme (OS) abzielt. Dieses bösartige Programm kann verschiedene Aktionen auf infizierten Geräten durchführen und ein breites Spektrum an sensiblen Daten extrahieren. Diese Malware gibt es seit mindestens 2020 und in mehreren Varianten.
Kürzlich wurde beobachtet, dass Elibomi in Smishing- (SMS-Phishing) und E-Mail-Spamkampagnen verbreitet wird, die auf indische Benutzer abzielen. Nach Angaben von Trend Micro gibt es mehrere große Kampagnen, die sich auf die Benutzer beliebter indischer Banken konzentrieren. Zusätzlich zu Elibomi umfassen diese kriminellen Operationen AxBanker, FakeReward, IcRAT und IcSpy bösartige Programme. Derzeit gibt es nicht genügend Beweise, um diese Kampagnen mit einer einzigen Quelle in Verbindung zu bringen.
Übersicht über Elibomi Malware
Wie bereits in der Einleitung erwähnt, gibt es mehrere Versionen von Elibomi. Die neuesten Varianten nutzen die Android Zugangsdienste, um Zugang und Kontrolle über kompromittierte Geräte zu erhalten. Cyberkriminelle können fast die Kontrolle des Systems auf Benutzerebene erlangen, indem sie diese Dienste missbrauchen.
Zugangsdienste sind für Benutzer gedacht, die zusätzliche Hilfe benötigen, um mit ihren Geräten zu interagieren; so können sie den Bildschirm lesen, den Touchscreen und die Tastatur simulieren und andere Manipulationen durchführen. Wenn Elibomi ein System infiltriert, zeigt es daher zunächst eine Anfrage nach Zugriffsberechtigungen an - und zwar unter dem Deckmantel einer allgemeinen Google-Anwendung.
Die Malware kann die Android Zugangsdienste nutzen, um sich selbst verschiedene Berechtigungen zu erteilen und Warnungen zuzulassen - ohne das Wissen des Benutzers. Elibomi stellt die Persistenz sicher, indem es verhindert, dass die Zugangsdienste deaktiviert werden, Google Play Protect deaktiviert und nicht aktiviert wird, die Akku-Optimierung ausgeschaltet wird und die eigene Entfernung nicht möglich ist.
Diese Software ist in der Lage, Overlay-Angriffe durchzuführen, d.h. gefälschte (Phishing-) Bildschirme anzuzeigen, die Benutzereingaben erfassen. Auf diese Weise kann die Malware das Entsperrungsmuster oder den PIN-Code des Geräts erlangen.
Die Prozesse von Elibomi sind hochgradig automatisiert, so dass sie funktionieren, ohne dass das Opfer das Gerät aktiv benutzt. Das Programm kann das Gerät "aufwecken", es entsperren und durch Interaktion mit dem Android-Betriebssystem bösartige Aktivitäten durchführen. Um das Misstrauen der Benutzer weiter zu verringern, kann Elibomi gefälschte "Warte"-Bildschirme anzeigen, um seine Aktivitäten zu verschleiern.
Die Fähigkeit der Malware, Overlay-Angriffe auszuführen, könnte genutzt werden, um Daten wie Anmeldedaten für Konten (z.B. Online-Banking, E-Commerce, soziale Medien, etc.), personenbezogene Daten, Kreditkartennummern, etc. zu sammeln, indem als legitime Anwendungen oder Webseiten getarnte Bildschirme angezeigt werden, die routinemäßig nach solchen Informationen fragen.
Elibomi versucht, SMS-bezogene Berechtigungen zu erwerben, die es ihm ermöglichen könnten, Textnachrichten abzufangen, zu lesen, zu löschen und zu versenden. Daher könnte dieses Programm theoretisch wie folgt funktionieren Mautbetrugs-Malware. Alternativ könnten solche Berechtigungen verwendet werden, um OTP (Einmalige Passwörter) oder 2FAs/MFAs (Zwei-/Multifaktor-Authentifizierungen).
Eine weitere Funktion dieser Software ist das Lesen und Löschen von E-Mails in der Gmail-App. Diese Malware ist auch darauf ausgerichtet, heimliche Geldtransfers durchzuführen, und sie kann alle diesbezüglichen Benachrichtigungen/Warnungen ausschalten.
Elibomi kann auch Ketteninfektionen verursachen. Mit anderen Worten, sie kann zusätzliche bösartige Komponenten oder Malware herunterladen/installieren (z.B. Trojaner, Ransomware, etc.).
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Elibomi auf Geräten zu zahlreichen Systeminfektionen, Datenverlusten, schwerwiegenden Datenschutzproblemen, finanziellen Einbußen und Identitätsdiebstahl führen kann.
Wenn Sie vermuten, dass Ihr Android-Gerät mit Elibomi (oder einer anderen Malware) infiziert ist, raten wir Ihnen dringend, ein Antivirenprogramm zu verwenden, um es unverzüglich zu entfernen.
Name | Elibomi Virus |
Art der Bedrohung | Android-Malware, bösartige Anwendung. |
Erkennungsnamen | Avast-Mobile (Android:Evo-gen [Trj]), ESET-NOD32 (eine Variante von Android/Spy.Banker.BJL), Fortinet (Android/Banker.BJL!tr.spy), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Drinik.l), vollständige Liste (VirusTotal) |
Symptome | Das Gerät läuft langsam, die Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch wird erheblich erhöht, Browser leiten auf fragwürdige Webseiten weiter, aufdringliche Werbung wird angezeigt. |
Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, Betrugs-Webseiten. |
Schaden | Gestohlene persönliche Informationen (private Nachrichten, Anmeldedaten/Passwörter, etc.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, riesige Datenverluste, finanzielle Einbußen, gestohlene Identität (bösartige Apps könnten Kommunikations-Apps missbrauchen). |
Malware-Entfernung (Android) | Um Malware-Infektionen zu beseitigen, empfehlen unsere Sicherheitsforscher, Ihr Android-Gerät mit legitimer Anti-Malware-Software zu scannen. Wir empfehlen Avast, Bitdefender, ESET oder Malwarebytes. |
Beispiele für auf Android abzielende Malware
Wir haben zahlreiche Android-spezifische schädliche Programme analysiert Ahmyth, Moonshine, BadBazaar und Cypher sind nur einige unserer neuesten Funde.
Malware kann ein breites Spektrum an Funktionen haben, die auch unterschiedlich kombiniert sein können. Es ist jedoch irrelevant, wie die bösartige Software arbeitet, da ihr Vorhandensein auf einem System die Sicherheit des Geräts/Benutzers unabhängig davon gefährdet.
Wie hat Elibomi mein Gerät infiltriert?
Elibomi wurde aktiv über Smishing- und E-Mail-Spamkampagnen verbreitet. Bei den jüngsten Kampagnen in Indien bezogen sich sowohl die betrügerischen SMS als auch die E-Mails in irgendeiner Weise auf Finanzen (z.B. Steuervorteile/-abzüge, Bankprämienprogramme, etc.). Diese gefälschte E-Mail forderte die Empfänger auf, entweder einem Link zu folgen oder die verlinkte Anwendung herunterzuladen.
Es ist jedoch wichtig zu erwähnen, dass wahrscheinlich auch andere Vertriebsmethoden verwendet werden. Typischerweise werden bösartige Programme durch Phishing und Social-Engineering-Methoden verbreitet. Sie sind meist als gewöhnliche Inhalte getarnt oder mit ihnen gebündelt.
Malware wird in erster Linie über bösartige Anhänge/Links in Spam-E-Mails (z.B. SMS, E-Mails, PN/DN, etc.), Drive-by-Downloads (heimliche/betrügerische Downloads), Online-Betrügereien, Malvertising, nicht vertrauenswürdige Downloadquellen (z.B. Freeware- und Drittanbieter-Webseiten, Peer-to-Peer-Netzwerke, etc.), illegale Software-Aktivierungswerkzeuge ("Cracks") und gefälschte Updates verbreitet.
Wie kann man die Installation von Malware vermeiden?
Wir raten dringend dazu, sich über die Software zu informieren, indem Sie die Bedingungen und Experten-/Benutzerbewertungen lesen, die erforderlichen Berechtigungen prüfen, die Legitimität des Entwicklers verifizieren, etc. Genauso wichtig ist es, nur von offiziellen und verifizierten Kanälen herunterzuladen. Außerdem müssen Programme mit legitimen Funktionen/Werkzeugen aktiviert und aktualisiert werden, da illegale Aktivierungswerkzeuge ("Cracking") und gefälschte Updateprogramme Malware enthalten können.
Wir raten auch davon ab, Anhänge oder Links in dubiosen E-Mails (z.B. E-Mails, PN/DN, SMS, etc.) zu öffnen, da sie bösartig sein und Infektionen verursachen können. Eine weitere Empfehlung lautet, beim Surfen vorsichtig zu sein, da betrügerische und gefährliche Online-Inhalte meist legitim und harmlos erscheinen.
Wir müssen betonen, wie wichtig es ist, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen zu entfernen.
Aussehen der Malware Elibomi, die nach Zugriffsberechtigungen fragt (Bildquelle - Trend Micro):
Schnellmenü:
- Einleitung
- Den Browserverlauf vom Chrome Internetbrowser löschen
- Browserbenachrichtigungen im Chrome Internetbrowser deaktivieren
- Den Chrome Internetbrowser zurücksetzen
- Den Browserverlauf vom Firefox Internetbrowser löschen
- Browserbenachrichtigungen im Firefox Internetbrowser deaktivieren
- Den Firefox Internetbrowser zurücksetzen
- Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren
- Das Android Gerät im "Abgesicherten Modus" starten
- Den Akku-Verbrauch verschiedener Anwendungen überprüfen
- Den Datenverbrauch verschiedener Anwendungen überprüfen
- Die neuesten Software-Updates installieren
- Das System auf Werkseinstellungen zurücksetzen
- Anwendungen mit Administratorenrechten deaktivieren
Den Verlauf vom Chrome Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Arten von Dateien, die Sie löschen möchten und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Chrome deaktivieren:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Einstellungen“.
Scrollen Sie nach unten, bis Sie die Option „Seiten-Einstellungen“ sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen und tippen Sie darauf.
Suchen Sie die Webseiten, die Browser-Benachrichtigungen übermitteln, tippen Sie auf sie und klicken Sie auf „Löschen und Zurücksetzen“. Dadurch werden die Berechtigungen entfernt, die diesen Webseiten erteilt wurden, um Benachrichtigungen zu übermitteln. Falls Sie dieselbe Seite jedoch erneut besuchen, wird sie möglicherweise erneut um eine Berechtigung bitten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (falls Sie dies ablehnen, geht die Webseite zum Abschnitt „Blockiert“ über und wird Sie nicht länger um die Berechtigung bitten).
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Chrome zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch das Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Den Verlauf vom Firefox Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Arten von Dateien aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Firefox deaktivieren:
Besuchen Sie die Webseite, die Browser-Benachrichtigungen übermittelt, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein „Schloss“) und wählen Sie „Seiten-Einstellungen bearbeiten“.
Erklären Sie sich in dem geöffneten Dialogfenster mit der Option „Benachrichtigungen“ einverstanden und tippen Sie auf „LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Firefox zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie die Aktion, indem Sie auf „LÖSCHEN“ tippen. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf „Deinstallieren“. Falls Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z.B. wenn Sie von einer Fehlermeldung veranlasst werden), sollten Sie versuchen, den „Abgesicherten Modus“ zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Das Android-Gerät im „Abgesicherten Modus“ starten:
Der „Abgesicherte Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z.B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät „normal“ läuft).
Drücken Sie die „Einschalttaste“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie ihn gedrückt. Nach einigen Sekunden wird die Option „Abgesicherter Modus“ angezeigt und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Den Akku-Verbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf „Akku“ und überprüfen Sie die Verwendung der einzelnen Anwendungen. Seriöse/echte Anwendungen werden entwickelt, um so wenig Energie wie möglich zu verbrauchen, um die beste Benutzererfahrung zu bieten und Strom zu sparen. Daher kann ein hoher Akkuverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Den Datenverbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Datenverbrauch" sehen, und wählen Sie diese Option aus. Wie beim Akku, werden seriöse/echte Anwendungen so entwickelt, dass der Datenverbrauch so weit wie möglich minimiert wird. Dies bedeutet, dass eine große Datennutzung auf die Präsenz von bösartigen Anwendungen hinweisen könnte. Beachten Sie, dass einige bösartige Anwendungen entwickelt werden könnten, um nur dann zu funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.
Falls Sie eine Anwendung finden, die viele Daten verwendet, obwohl Sie sie nie verwenden, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Die neuesten Software-Updates installieren:
Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheits-Patches und Android-Updates, um Fehler und Mängel zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Software-Update" sehen und tippen Sie darauf.
Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen auch, die Option „Updates automatisch herunterladen“ zu aktivieren - damit kann das System Sie benachrichtigen, sobald ein Update veröffentlicht wird und/oder es automatisch installieren.
[Zurück zum Inhaltsverzeichnis]
Das System auf Werkseinstellungen zurücksetzen:
Das Ausführen eines „Werkseinstellungen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät allgemein zu reinigen. Beachten Sie, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die im Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. D.h. das Gerät wird auf Werkseinstellunjgen zurückgesetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder schlicht die Netzwerkeinstellungen wiederherstellen.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Wiederherstellen" sehen und tippen Sie darauf. Wählen Sie nun die Aktion, die Sie durchführen möchten:
„Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
"Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkszustand zurücksetzen" - setzen Sie das gesamte System zurück und löschen Sie alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Anwendungen mit Administratorrechten deaktivieren:
Falls eine bösartige Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps solche Berechtigungen haben und diejenigen deaktivieren, die diese nicht haben sollten.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie auf sie und dann auf "Administratoren-Apps des Geräts".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollen, tippen Sie auf sie und dann auf „DEAKTIVIEREN“.
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit Elibomi Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Die meisten bösartigen Programme können ohne Formatierung entfernt werden.
Was sind die größten Probleme, die Elibomi Malware verursachen kann?
Die Bedrohungen, die von einem bösartigen Programm ausgehen, hängen von seinen Funktionen und der Vorgehensweise der Cyberkriminellen ab. Elibomi ist eine sehr multi-funktionelle Malware, die auch Ketteninfektionen verursachen kann. Zu den Bedrohungen, die von diesen Infektionen ausgehen, gehören unter anderem: Schwerwiegende Probleme mit der Privatsphäre, erhebliche finanzielle Einbußen und Identitätsdiebstahl.
Was ist der Zweck von Elibomi Malware?
Malware wird typischerweise zu Gewinnzwecken eingesetzt. Cyberkriminelle können sie aber auch nutzen, um sich zu amüsieren, persönliche Rachefeldzüge durchzuführen, Prozesse zu stören (z.B. Webseiten, Dienstleistungen, Unternehmen, etc.) und sogar politisch/geopolitisch motivierte Angriffe zu starten.
Wie hat Elibomi Malware mein Android-Gerät infiltriert?
Elibomi wurde aktiv über Spam-SMS und -E-Mails verbreitet, die sich in der Regel auf Finanzen beziehen (z.B. Steuervorteile, Prämienprogramme, etc.). Es kann jedoch auch mit anderen Techniken verteilt werden. Malware wird hauptsächlich über Drive-by-Downloads, dubiose Downloadquellen (z.B. Freeware- und Drittanbieter-Webseiten, P2P-Tauschbörsen, etc.), Online-Betrügereien, Malvertising, illegale Software-Aktivierungswerkzeuge ("Cracking") und gefälschte Updates verbreitet.
▼ Diskussion einblenden