So entfernt man GoldDigger Malware von infizierten Android Geräten
Verfasst von Tomas Meskauskas am (aktualisiert)
Welche Art von Malware ist GoldDigger?
GoldDigger ist ein Android-Trojaner, der sich auf Finanzinstitute konzentriert und mindestens seit Juni 2023 aktiv ist. Dieser Trojaner tarnt sich als gefälschte Android-App, die sowohl ein vietnamesisches Regierungsportal als auch ein lokales Energieunternehmen imitieren kann, mit dem primären Ziel, Bankdaten zu ergaunern.
GoldDigger im Detail
GoldDigger missbraucht die Barierefreiheitsdienste von Android, um mit gezielten Anwendungen zu interagieren, persönliche Informationen zu extrahieren, Bankdaten zu stehlen, Tastatureingaben zu protokollieren, 2FA-Codes zu erfassen, SMS-Nachrichten abzufangen und vieles mehr. Die Angriffskette basiert auf gefälschten Webseiten, die Google Play Store-Seiten und vietnamesische Unternehmensseiten imitieren und möglicherweise durch Phishing-Taktiken verbreitet werden.
GoldDigger verwendet einen fortschrittlichen Schutzmechanismus, Virbox Protector, um sich der Erkennung und Analyse zu entziehen, was es schwierig macht, bösartige Aktivitäten in Sandkästen oder Emulatoren auszulösen. GoldDigger manipuliert auch den Barrierefreiheitsdienst, um die Kontrolle über Benutzeraktionen zu erlangen und möglicherweise Fernzugriff auf das Gerät des Opfers zu ermöglichen.
Sie überwacht und extrahiert Daten von 51 Finanz-Apps, E-Wallets und Krypto-Apps in Vietnam und sendet sie an Command-and-Control-Server. Das volle Ausmaß seiner Fähigkeiten ist zwar nicht bestätigt, aber es birgt erhebliche Risiken, einschließlich der Umgehung der Authentifizierung und des Fernzugriffs.
Mögliche Schäden
Das Hauptziel von GoldDigger ist es, Bankdaten abzufangen, damit Cyberkriminelle auf die Finanzkonten der Opfer zugreifen, unbefugte Transaktionen durchführen und möglicherweise Geld abheben können.
Durch das Abfangen von SMS-Nachrichten kann der Trojaner Einmalpasswörter (OTP) oder Codes für die Zwei-Faktor-Authentifizierung (2FA) abfangen, die von Banken als zusätzliche Sicherheitsmaßnahme verschickt werden, und ermöglicht es Angreifern, diese Sicherheitsmaßnahmen zu umgehen.
Außerdem kann GoldDigger Tastatureingaben protokollieren, d. h. er kann Benutzernamen, Kennwörter und andere vertrauliche Informationen aufzeichnen, die vom Opfer eingegeben werden, was die Sicherheit weiter beeinträchtigt.
Durch die Manipulation des Barrierefreiheitsdienstes kann GoldDigger eine Hintertür in das Gerät des Opfers einrichten, die es den Cyberkriminellen ermöglicht, aus der Ferne auf das kompromittierte Gerät zuzugreifen und es zu kontrollieren, um möglicherweise weitere bösartige Aktivitäten durchzuführen.
Name | GoldDigger Android Malware |
Art der Bedrohung | Android Trojaner |
Erkennungsnamen | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.KPE), ESET-NOD32 (eine Variante von Android/Packed.Jiagu.K Potentially Unsafe), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.lu), vollständige Liste (VirusTotal) |
Verwandte Domänen | cgovn[.]cc, egovn[.]cc, evnspa[.]cc, evnspc[.]cc, evnspe[.]cc, evnspo[.]cc, evnspr[.]cc, gdtgovn[.]com, govn[.]cc, vietcp[.]cc, vietgav[.]cc, vietgov[.]cc, vietgov0[.]cc, vietgov1[.]cc, vietgov22[.]cc, vietgov3[.]cc, vietgov33[.]cc, vietgov4[.]cc, vietgov5[.]cc, vietgov6[.]cc, vietgovn[.]cc, viettgov[.]cc, vitgov[.]cc. |
Symptome | Das Gerät läuft langsam, die Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch wird erheblich erhöht, Browser leiten zu fragwürdigen Webseiten um, aufdringliche Werbung wird angezeigt. |
Verbreitungsmethoden | Betrügerische Webseiten (meist gefälschte Google Play-Seiten), SMS-Phishing, betrügerische E-Mails, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen. |
Schaden | Gestohlene persönliche Informationen (private Nachrichten, Anmeldedaten/Passwörter, etc.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Einbußen und mehr. |
Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Fazit
Zusammenfassend lässt sich sagen, dass es sich bei GoldDigger um einen hochentwickelten und gefährlichen Android-Trojaner handelt, der auf Finanzunternehmen, vor allem in Vietnam, abzielt. Da die Fähigkeiten und die Reichweite von GoldDigger zunehmen, ist es für Unternehmen und Einzelpersonen von entscheidender Bedeutung, wachsam zu bleiben und robuste Cybersicherheitspraktiken anzuwenden, um die Risiken dieses bösartigen Android-Trojaners und ähnlicher Bedrohungen in der sich ständig weiterentwickelnden Bedrohungslandschaft zu minimieren.
Beispiele für andere Trojaner, die auf Android-Geräte abzielen sind: Remo, Fleckpe und KEYSTEAL.
Wie hat GoldDigger mein Gerät infiltriert?
Die Verbreitungsmethode von GoldDigger beruht auf betrügerischen Webseiten, die sich als legitime Quellen ausgeben, vor allem als Google Play-Seiten und Unternehmenswebsites in Vietnam. Es wird angenommen, dass die Trojaner-Betreiber zur Verbreitung der Malware Techniken wie Smishing (SMS-Phishing) oder herkömmliches Phishing einsetzen, um Links zu diesen betrügerischen Webseiten zu verbreiten.
Auf diesen bösartigen Webseiten werden den Benutzern verlockende Download-Links für Android-Anwendungen angeboten. Bei diesen Anwendungen handelt es sich in Wirklichkeit um bösartige APKs, die das Gerät des Opfers mit GoldDigger infizieren sollen.
Es ist wichtig zu beachten, dass bei allen Android-Geräten die Sicherheitsfunktion "Von unbekannten Quellen installieren" standardmäßig deaktiviert ist. Diese Funktion soll die Installation von Apps aus Quellen außerhalb des Google Play Store verhindern, wo Apps normalerweise auf ihre Sicherheit geprüft werden.
Die erfolgreiche Installation von GoldDigger hängt jedoch von einem entscheidenden Faktor ab: Auf dem Gerät des Opfers muss die Einstellung "Von unbekannten Quellen installieren" aktiviert sein. Wenn diese Einstellung aktiviert ist, erlaubt sie die Installation von Apps aus anderen Quellen als dem offiziellen Google Play Store. Diese Einstellung wird zu einem Einfallstor für GoldDigger, um Geräte zu infiltrieren.
Wie vermeidet man die Installation von Malware?
Laden Sie Apps nur aus offiziellen Quellen wie dem Google Play Store herunter. Vermeiden Sie App-Stores von Drittanbietern oder das Sideloading von Apps von unbekannten Webseiten, da diese mit größerer Wahrscheinlichkeit Malware enthalten. Achten Sie auf App Berechtigungen. Gewähren Sie Anwendungen nur die Berechtigungen, die sie wirklich benötigen. Aktualisieren Sie Ihr Android-Betriebssystem und Ihre Apps regelmäßig.
Seien Sie vorsichtig, wenn Sie auf Links in E-Mails, Textnachrichten oder Pop-up-Anzeigen klicken. Überprüfen Sie die Quelle und die Authentizität der Nachricht, bevor Sie etwas unternehmen. Ziehen Sie in Erwägung, seriöse Antiviren- oder Anti-Malware-Anwendungen von vertrauenswürdigen Entwicklern zu installieren.
Aussehen der Webseiten (evnspa[.]cc; evnspc[.]cc; evnspe[.]cc; evnspo[.]cc; evnspr[.]cc), die verwendet werden, um den GoldDigger Trojaner zu verbreiten:
Aussehen der anderen bösartigen Webseiten (gdtgovn[.]com; ugovn[.]cc; vietcp[.]cc; vietgov6[.]cc; vitgov[.]cc), die verwendet werden, um den GoldDigger Trojaner zu verbreiten:
Schnellmenü:
- Einleitung
- Den Browserverlauf vom Chrome Internetbrowser löschen
- Browserbenachrichtigungen im Chrome Internetbrowser deaktivieren
- Den Chrome Internetbrowser zurücksetzen
- Den Browserverlauf vom Firefox Internetbrowser löschen
- Browserbenachrichtigungen im Firefox Internetbrowser deaktivieren
- Den Firefox Internetbrowser zurücksetzen
- Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren
- Das Android Gerät im "Abgesicherten Modus" starten
- Den Akku-Verbrauch verschiedener Anwendungen überprüfen
- Den Datenverbrauch verschiedener Anwendungen überprüfen
- Die neuesten Software-Updates installieren
- Das System auf Werkseinstellungen zurücksetzen
- Anwendungen mit Administratorenrechten deaktivieren
Den Verlauf vom Chrome Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Arten von Dateien, die Sie löschen möchten und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Chrome deaktivieren:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Einstellungen“.
Scrollen Sie nach unten, bis Sie die Option „Seiten-Einstellungen“ sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen und tippen Sie darauf.
Suchen Sie die Webseiten, die Browserbenachrichtigungen übermitteln, tippen Sie auf sie und klicken Sie auf „Löschen und Zurücksetzen“. Dadurch werden die Berechtigungen entfernt, die diesen Webseiten erteilt wurden, um Benachrichtigungen zu übermitteln. Falls Sie dieselbe Seite jedoch erneut besuchen, wird sie möglicherweise erneut um eine Berechtigung bitten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (falls Sie dies ablehnen, geht die Webseite zum Abschnitt „Blockiert“ über und wird Sie nicht länger um die Berechtigung bitten).
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Chrome zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch das Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Den Verlauf vom Firefox Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Arten von Dateien aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Firefox deaktivieren:
Besuchen Sie die Webseite, die Browser-Benachrichtigungen übermittelt, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein „Schloss“) und wählen Sie „Seiten-Einstellungen bearbeiten“.
Erklären Sie sich in dem geöffneten Dialogfenster mit der Option „Benachrichtigungen“ einverstanden und tippen Sie auf „LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Firefox zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie die Aktion, indem Sie auf „LÖSCHEN“ tippen. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf „Deinstallieren“. Falls Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z.B. wenn Sie von einer Fehlermeldung veranlasst werden), sollten Sie versuchen, den „Abgesicherten Modus“ zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Das Android-Gerät im „Abgesicherten Modus“ starten:
Der „Abgesicherte Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z.B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät „normal“ läuft).
Drücken Sie die „Einschalttaste“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie ihn gedrückt. Nach einigen Sekunden wird die Option „Abgesicherter Modus“ angezeigt und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Den Akku-Verbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf „Akku“ und überprüfen Sie die Verwendung der einzelnen Anwendungen. Seriöse/echte Anwendungen werden entwickelt, um so wenig Energie wie möglich zu verbrauchen, um die beste Benutzererfahrung zu bieten und Strom zu sparen. Daher kann ein hoher Akkuverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Den Datenverbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Datenverbrauch" sehen, und wählen Sie diese Option aus. Wie beim Akku, werden seriöse/echte Anwendungen so entwickelt, dass der Datenverbrauch so weit wie möglich minimiert wird. Dies bedeutet, dass eine große Datennutzung auf die Präsenz von bösartigen Anwendungen hinweisen könnte. Beachten Sie, dass einige bösartige Anwendungen entwickelt werden könnten, um nur dann zu funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.
Falls Sie eine Anwendung finden, die viele Daten verwendet, obwohl Sie sie nie verwenden, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Die neuesten Software-Updates installieren:
Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheits-Patches und Android-Updates, um Fehler und Mängel zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Software-Update" sehen und tippen Sie darauf.
Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen auch, die Option „Updates automatisch herunterladen“ zu aktivieren - damit kann das System Sie benachrichtigen, sobald ein Update veröffentlicht wird und/oder es automatisch installieren.
[Zurück zum Inhaltsverzeichnis]
Das System auf Werkseinstellungen zurücksetzen:
Das Ausführen eines „Werkseinstellungen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät allgemein zu reinigen. Beachten Sie, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die im Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. D.h. das Gerät wird auf Werkseinstellunjgen zurückgesetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder schlicht die Netzwerkeinstellungen wiederherstellen.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Wiederherstellen" sehen und tippen Sie darauf. Wählen Sie nun die Aktion, die Sie durchführen möchten:
„Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
"Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkszustand zurücksetzen" - setzen Sie das gesamte System zurück und löschen Sie alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Anwendungen mit Administratorrechten deaktivieren:
Falls eine bösartige Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps solche Berechtigungen haben und diejenigen deaktivieren, die diese nicht haben sollten.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie auf sie und dann auf "Administratoren-Apps des Geräts".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollen, tippen Sie auf sie und dann auf „DEAKTIVIEREN“.
Häufig gestellte Fragen (FAQ)
Mein Gerät ist mit GoldDigger Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Anstatt sofort zu der drastischen Maßnahme der Formatierung Ihres Speichermediums zu greifen, empfehlen wir die Verwendung von seriösen Antiviren- und Anti-Malware-Werkzeugen, wie Combo Cleaner, um die GoldDigger-Malware zu entfernen.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann Datendiebstahl, Systemunterbrechungen, finanzielle Verluste, Netzwerkschäden, Rufschädigung, rechtliche Probleme, Ressourcenverbrauch, Datenverschlüsselung und vieles mehr verursachen.
Was ist der Zweck von GoldDigger?
Der Hauptzweck von GoldDigger besteht darin, Finanzunternehmen anzugreifen und sensible Informationen, insbesondere Bankdaten, zu stehlen. Dieser Android-Trojaner infiltriert die Geräte der Opfer, gibt sich als legitime Anwendung aus und missbraucht den Zugänglichkeitsdienst, um Zugriff auf Benutzerdaten zu erlangen, darunter Kontostände und Anmeldeinformationen für die Zwei-Faktor-Authentifizierung.
Wie hat GoldDigger mein Gerät infiltriert?
GoldDigger hat Ihr Gerät wahrscheinlich durch betrügerische Mittel infiltriert. Sie verbreitet sich über gefälschte Webseiten, die sich als Google Play-Seiten ausgeben, und gefälschte Unternehmenswebseiten in Vietnam. Cyberkriminelle verbreiten Links zu diesen Webseiten durch Smishing (SMS-Phishing), traditionelle Phishing-Taktiken oder auf andere Weise. Um ein Gerät erfolgreich zu infizieren, muss die Einstellung "Von unbekannten Quellen installieren" auf dem Android-Gerät des Opfers aktiviert sein.
Wird Combo Cleaner mich vor Malware schützen?
Combo Cleaner kann die meisten Malware-Infektionen finden und entfernen, aber besonders fortgeschrittene Malware kann sich tief im System verstecken, so dass ein umfassender Systemscan für die erfolgreiche Erkennung und Entfernung verborgener Bedrohungen unerlässlich ist.
▼ Diskussion einblenden