So entfernt man DAAM Botnet von einem Android-Gerät
Verfasst von Tomas Meskauskas am
Was ist DAAM Botnet?
DAAM ist ein Android-Botnet, das seit 2021 genutzt wird, um sich unbefugten Zugriff auf gezielte Geräte zu verschaffen. Cyberkriminelle nutzen es, um verschiedene bösartige Operationen durchzuführen. Mit dem DAAM-Android-Botnet können Bedrohungsakteure mithilfe des APK-Bindungsdienstes schädlichen Code mit einer echten Anwendung verbinden.
Mehr über das DAAM Botnet
Das DAAM Android-Botnet bietet eine Reihe von Funktionen, darunter Keylogging, Ransomware Aufzeichnung von VOIP-Anrufen, Ausführung von Laufzeitcode, Erfassung des Browserverlaufs, Aufzeichnung eingehender Anrufe, Diebstahl von PII-Daten, Öffnen von Phishing-URLs, Erfassen von Fotos, Diebstahl von Zwischenablagedaten sowie WiFi- und Datenstatuswechsel.
Das DAAM-Botnet verwendet den Barrierefreiheitsdienst, um die Aktivitäten der Benutzer zu überwachen und die erfassten Tastenanschläge mit dem entsprechenden Namen des Anwendungspakets in einer Datenbank zu speichern. Er enthält auch ein Ransomware-Modul, das den AES-Algorithmus zur Ver- und Entschlüsselung von Daten auf dem infizierten Gerät verwendet.
Darüber hinaus nutzt das Botnet den Erreichbarkeitsdienst, um Komponenten von Social-Media-Apps zu überwachen, die für VOIP-Anrufe zuständig sind, wie WhatsApp, Skype, Telegram und andere. Wenn der Benutzer mit diesen Komponenten interagiert, beginnt die Malware mit der Audioaufzeichnung.
Zusätzlich zu den oben genannten Funktionen ist das DAAM-Botnet in der Lage, Lesezeichen und den Browserverlauf des Zielgeräts zu sammeln und an den Server C&C zu übermitteln. Es kann auch Laufzeitcode ausführen.
Darüber hinaus sammelt die Malware personenbezogene Daten (PII) von dem infizierten Gerät, z. B. Kontakte, SMS-Nachrichten, Anrufprotokolle, Dateien, allgemeine Gerätedaten und Standortinformationen.
Darüber hinaus kann die Malware die Anmeldeinformationen des Opfers stehlen, indem sie eine Phishing-URL vom C&C-Server empfängt und sie in eine WebView-Komponente lädt. Mit dieser Funktion können Bedrohungsakteure Social-Engineering-Angriffe starten, indem sie Phishing-URLs ihrer Wahl über das Bedienfeld C&C versenden.
Darüber hinaus ist das DAAM-Botnet in der Lage, Screenshots zu stehlen, die im Verzeichnis "/Pictures/Screenshots" des kompromittierten Geräts gespeichert sind, und Bilder zu erfassen, indem es die Kamera des Geräts des Opfers öffnet.
Zusätzlich zu den bereits erwähnten Funktionen kann das DAAM-Botnet Aufgaben wie das Umschalten von WiFi und Daten, das Anzeigen von zufälligen Toast-Nachrichten und das Sammeln von Zwischenablagedaten übernehmen.
Name | DAAM Android Malware |
Art der Bedrohun | Android-Malware, Botnet |
Erkennungsnamen | Avast-Mobile (APK:RepMalware [Trj]), BitDefenderFalx (Android.Trojan.SpyAgent.FZ), ESET-NOD32 (eine Variante von Android/Spy.Agent.BCJ), Kaspersky (HEUR:Trojan-Ransom.AndroidOS.CryCrypt.c), vollständige Liste (VirusTotal) |
Symptome | Das Gerät läuft langsam, die Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch wird erheblich erhöht, Browser leiten zu fragwürdigen Webseiten um, aufdringliche Werbung wird angezeigt. |
Verbreitungsmethoden | Infizierte legitime Anwendungen (z. B. Psiphon) |
Schaden | Gestohlene persönliche Informationen (private Nachrichten, Anmeldedaten/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Einbußen, gestohlene Identität, Datenverschlüsselung und mehr. |
Malware-Entfernung (Android) | Um Malware-Infektionen zu beseitigen, empfehlen unsere Sicherheitsforscher, Ihr Android-Gerät mit legitimer Anti-Malware-Software zu scannen. Wir empfehlen Avast, Bitdefender, ESET oder Malwarebytes. |
Mögliche Schäden
Das DAAM-Botnet kann seinen Opfern erheblichen Schaden zufügen. Es kann sensible und persönliche Informationen von dem infizierten Gerät stehlen, z. B. Kontakte, SMS-Nachrichten, Anrufprotokolle, Dateien, grundlegende Gerätedetails und Standortdaten. Es kann auch Fotos aufnehmen und eingehende Anrufe aufzeichnen, was zu Verletzungen der Privatsphäre führt.
Außerdem kann die Malware Phishing-URLs öffnen und Anmeldeinformationen stehlen, die für Finanzbetrug und Identitätsdiebstahl verwendet werden können. Das DAAM-Botnet kann auch Code zur Laufzeit ausführen, der das infizierte Gerät beschädigen oder den Angreifern die Durchführung weiterer bösartiger Aktivitäten ermöglichen kann.
Das Ransomware-Modul des Botnets kann Dateien auf dem infizierten Gerät ver- und entschlüsseln, was zu einem erheblichen Datenverlust oder einer Unterbrechung des Betriebs des Opfers führt. Darüber hinaus kann das DAAM-Botnet den WiFi- und Datenstatus wechseln, was zu Unterbrechungen der Netzwerkkonnektivität führen und die Internetsicherheit des Opfers gefährden kann.
Wie hat das DAAM Botnet mein Gerät infiltriert?
Es ist bekannt, dass das DAAM Android-Botnet über trojanisierte Anwendungen verbreitet wird. Dabei handelt es sich um legitime Anwendungen, die so verändert wurden, dass sie schädlichen Code enthalten. Wenn ein Benutzer eine trojanisierte Anwendung herunterlädt und installiert, wird auch die Malware auf dem Gerät installiert, so dass die Angreifer die Kontrolle über das Gerät erlangen können.
Eine bekannte Anwendung, die zur Verbreitung des DAAM-Botnets verwendet wurde, ist Psiphon. Psiphon ist eine beliebte App, die es Benutzern ermöglicht, die Internetzensur zu umgehen und auf gesperrte Webseiten zuzugreifen. Es ist jedoch bekannt, dass Cyberkriminelle die legitime Psiphon Anwendung modifizieren und als trojanisierte Version verbreiten, die die DAAM-Botnet-Malware enthält.
Wenn Benutzer die schädliche Version von Psiphon herunterladen und installieren, wird das DAAM-Botnet auf ihren Geräten installiert.
Wie kann man die Installation von Malware vermeiden?
Laden Sie Anwendungen aus zuverlässigen Quellen herunter, z. B. aus dem Google Play Store. Seien Sie vorsichtig mit Programmen, die nach unnötigen Berechtigungen fragen oder verdächtige Bewertungen haben. Halten Sie Ihre Geräte, Betriebssysteme und Anwendungen auf dem neuesten Stand, um das Risiko zu verringern, dass Angreifer Schwachstellen ausnutzen.
Verwenden Sie eine seriöse Antiviren-Software, um Ihr Gerät regelmäßig zu überprüfen. Stellen Sie sicher, dass Google Play Protect für Android-Geräte aktiviert ist.
Schnellmenü:
- Einleitung
- Den Browserverlauf vom Chrome Internetbrowser löschen
- Browserbenachrichtigungen im Chrome Internetbrowser deaktivieren
- Den Chrome Internetbrowser zurücksetzen
- Den Browserverlauf vom Firefox Internetbrowser löschen
- Browserbenachrichtigungen im Firefox Internetbrowser deaktivieren
- Den Firefox Internetbrowser zurücksetzen
- Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren
- Das Android Gerät im "Abgesicherten Modus" starten
- Den Akku-Verbrauch verschiedener Anwendungen überprüfen
- Den Datenverbrauch verschiedener Anwendungen überprüfen
- Die neuesten Software-Updates installieren
- Das System auf Werkseinstellungen zurücksetzen
- Anwendungen mit Administratorenrechten deaktivieren
Den Verlauf vom Chrome Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Arten von Dateien, die Sie löschen möchten und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Chrome deaktivieren:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Einstellungen“.
Scrollen Sie nach unten, bis Sie die Option „Seiten-Einstellungen“ sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen und tippen Sie darauf.
Suchen Sie die Webseiten, die Browserbenachrichtigungen übermitteln, tippen Sie auf sie und klicken Sie auf „Löschen und Zurücksetzen“. Dadurch werden die Berechtigungen entfernt, die diesen Webseiten erteilt wurden, um Benachrichtigungen zu übermitteln. Falls Sie dieselbe Seite jedoch erneut besuchen, wird sie möglicherweise erneut um eine Berechtigung bitten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (falls Sie dies ablehnen, geht die Webseite zum Abschnitt „Blockiert“ über und wird Sie nicht länger um die Berechtigung bitten).
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Chrome zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch das Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Den Verlauf vom Firefox Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Arten von Dateien aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Firefox deaktivieren:
Besuchen Sie die Webseite, die Browser-Benachrichtigungen übermittelt, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein „Schloss“) und wählen Sie „Seiten-Einstellungen bearbeiten“.
Erklären Sie sich in dem geöffneten Dialogfenster mit der Option „Benachrichtigungen“ einverstanden und tippen Sie auf „LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Firefox zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie die Aktion, indem Sie auf „LÖSCHEN“ tippen. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf „Deinstallieren“. Falls Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z.B. wenn Sie von einer Fehlermeldung veranlasst werden), sollten Sie versuchen, den „Abgesicherten Modus“ zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Das Android-Gerät im „Abgesicherten Modus“ starten:
Der „Abgesicherte Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z.B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät „normal“ läuft).
Drücken Sie die „Einschalttaste“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie ihn gedrückt. Nach einigen Sekunden wird die Option „Abgesicherter Modus“ angezeigt und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Den Akku-Verbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf „Akku“ und überprüfen Sie die Verwendung der einzelnen Anwendungen. Seriöse/echte Anwendungen werden entwickelt, um so wenig Energie wie möglich zu verbrauchen, um die beste Benutzererfahrung zu bieten und Strom zu sparen. Daher kann ein hoher Akkuverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Den Datenverbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Datenverbrauch" sehen, und wählen Sie diese Option aus. Wie beim Akku, werden seriöse/echte Anwendungen so entwickelt, dass der Datenverbrauch so weit wie möglich minimiert wird. Dies bedeutet, dass eine große Datennutzung auf die Präsenz von bösartigen Anwendungen hinweisen könnte. Beachten Sie, dass einige bösartige Anwendungen entwickelt werden könnten, um nur dann zu funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.
Falls Sie eine Anwendung finden, die viele Daten verwendet, obwohl Sie sie nie verwenden, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Die neuesten Software-Updates installieren:
Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheits-Patches und Android-Updates, um Fehler und Mängel zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Software-Update" sehen und tippen Sie darauf.
Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen auch, die Option „Updates automatisch herunterladen“ zu aktivieren - damit kann das System Sie benachrichtigen, sobald ein Update veröffentlicht wird und/oder es automatisch installieren.
[Zurück zum Inhaltsverzeichnis]
Das System auf Werkseinstellungen zurücksetzen:
Das Ausführen eines „Werkseinstellungen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät allgemein zu reinigen. Beachten Sie, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die im Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. D.h. das Gerät wird auf Werkseinstellunjgen zurückgesetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder schlicht die Netzwerkeinstellungen wiederherstellen.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Wiederherstellen" sehen und tippen Sie darauf. Wählen Sie nun die Aktion, die Sie durchführen möchten:
„Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
"Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkszustand zurücksetzen" - setzen Sie das gesamte System zurück und löschen Sie alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Anwendungen mit Administratorrechten deaktivieren:
Falls eine bösartige Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps solche Berechtigungen haben und diejenigen deaktivieren, die diese nicht haben sollten.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie auf sie und dann auf "Administratoren-Apps des Geräts".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollen, tippen Sie auf sie und dann auf „DEAKTIVIEREN“.
Häufig gestellte Fragen (FAQ)
Mein Gerät ist mit DAAM Botnet infiziert. Sollte ich mein Speichergerät formatieren, um es loszuwerden?
Das Formatieren Ihres Speichermediums kann eine Lösung sein, um das DAAM-Botnet loszuwerden, aber es wird empfohlen, zuerst zu versuchen, die Malware mit Antivirensoftware zu entfernen.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann sensible Informationen wie persönliche und finanzielle Daten stehlen, was zu Identitätsdiebstahl und finanziellen Einbußen führt. Malware kann auch den Betrieb stören, indem sie Systemabstürze verursacht, Geräte verlangsamt und wichtige Dateien löscht oder verändert. Darüber hinaus können sich einige Arten von Malware auf andere Geräte im selben Netzwerk ausbreiten, was zu einer weit verbreiteten Infektion führt.
Was ist der Zweck des DAAM-Botnets?
Der Zweck des DAAM-Botnets besteht darin, verschiedene böswillige Aktivitäten auf infizierten Android-Geräten durchzuführen. Dazu gehören unter anderem der Diebstahl sensibler Informationen wie Anmeldeinformationen und persönlicher Daten, die Aufzeichnung von Audio- und Videoaufnahmen, die Verschlüsselung von Dateien und die Forderung von Lösegeldzahlungen sowie die Durchführung anderer Aufgaben wie der Diebstahl des Browserverlaufs, die Ausführung von Code und der Wechsel von WiFi und Daten.
Wie hat das DAAM Botnet mein Gerät infiltriert?
Es ist bekannt, dass das Botnet hauptsächlich über trojanisierte Anwendungen verbreitet wird, wobei beliebte Anwendungen wie Psiphon zur Verbreitung der Malware genutzt werden. Weitere potenzielle Infektionswege sind Phishing-Angriffe, Drive-by-Downloads und Softwareschwachstellen.
Wird Combo Cleaner mich vor Malware schützen?
Ja, diese Anwendung entfernt Malware. Es sei darauf hingewiesen, dass ein vollständiger System-Scan erforderlich ist, da sich hochentwickelte Malware oft tief im System versteckt, obwohl Combo Cleaner fast alle bekannten Malware-Infektionen erkennen und beseitigen kann.
▼ Diskussion einblenden