Wie man AridSpy von infizierten Geräten entfernt
Verfasst von Tomas Meskauskas am
Was ist AridSpy?
AridSpy ist eine Malware (ein Trojaner), die auf Android-Nutzer abzielt. Cyberkriminelle verbreiten AridSpy über trojanisierte Anwendungen, die einen bösartigen Code enthalten. Diese Malware wird verwendet, um verschiedene Informationen von den infizierten Android-Geräten zu stehlen. AridSpy sollte so schnell wie möglich von infizierten Geräten entfernt werden.
AridSpy im Einzelnen
Nach der Installation einer trojanisierten App mit AridSpy überprüft die Malware das Vorhandensein bestimmter Sicherheitstools auf dem Betriebssystem und sendet diese Informationen an den Command-and-Control-Server (C2). Wenn die Malware feststellt, dass keines der Sicherheitstools aus ihrer Liste installiert ist, lädt sie die Nutzdaten der ersten Stufe herunter.
Die ursprüngliche Nutzlast gibt vor, ein Update für Google Play-Dienste zu sein. Wenn Benutzer dieses bösartige Update installieren, tarnt es sich unter Namen wie Play Manager oder Service Google. Diese Nutzlast arbeitet unabhängig und erfordert nicht, dass die trojanisierte App auf demselben Gerät vorhanden ist.
Die Aufgabe der Nutzlast der ersten Stufe besteht darin, die Nutzlast der zweiten Stufe herunterzuladen, bei der es sich um eine ausführbare Dalvik-Datei handelt. Die Nutzlast der zweiten Stufe enthält die bösartigen Funktionen, die speziell für die Datenexfiltration entwickelt wurden.
AridSpy kann eine breite Palette von Daten sammeln, z. B. Anrufprotokolle, Kontaktlisten, Textnachrichten, den Standort des Geräts, WhatsApp-Datenbanken, Daten aus der Zwischenablage, empfangene Benachrichtigungen, Facebook Messenger- und WhatsApp-Kommunikation, Lesezeichen (und Suchverlauf) aus verschiedenen Browsern sowie Dateien mit bestimmten Erweiterungen, die auf dem externen Speicher abgelegt sind.
Darüber hinaus zeichnet die Malware Telefongespräche auf, macht Fotos, zeichnet Audio über das Mikrofon auf und führt Keylogging durch, indem sie den gesamten Text erfasst, der in einer installierten App sichtbar und editierbar ist.
| Name | AridSpy Trojan |
| Art der Bedrohung | Android-Malware, bösartige Anwendung, Trojaner |
| Erkennung Namen | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Spyware.AridSpy.A), ESET-NOD32 (Eine Variante von Android/Spy.AridSpy.A), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.c), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, die Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch wird erheblich erhöht, Browser leiten zu fragwürdigen Websites um, aufdringliche Werbung wird angezeigt. |
| Vertriebsmethoden | Trojanisierte Anwendungen, App-Stores von Drittanbietern, betrügerische Websites |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen der Batterie, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Verluste, gestohlene Identität. |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Mögliche Schäden
Die umfangreichen Möglichkeiten der AridSpy-Malware können für die Opfer schwerwiegende negative Folgen haben. Dazu können Identitätsdiebstahl und Finanzbetrug gehören. Die gestohlenen Daten können dazu verwendet werden, sich als Opfer auszugeben oder unbefugten Zugriff auf ihre Konten und Finanzinformationen zu erhalten. Außerdem können die Opfer finanzielle Verluste erleiden.
Außerdem können die privaten Gespräche und Aktivitäten der Opfer ohne ihr Wissen und ihre Zustimmung überwacht werden, was zu Verletzungen der Privatsphäre führt. Insgesamt stellen die Möglichkeiten von AridSpy ernsthafte Risiken und potenziellen Schaden für die Opfer dar.
Wie hat AridSpy mein Gerät infiltriert?
AridSpy wird über trojanisierte Versionen legitimer Anwendungen wie LapizaChat, NortirChat und ReblyChat verbreitet. Diese Anwendungen imitieren echte Programme wie StealthChat, Session und Voxer Walkie Talkie Messenger und geben fälschlicherweise vor, sichere Chat-Dienste anzubieten.
Darüber hinaus wird die Malware auch über Apps verbreitet, die sich als palästinensisches Melderegister und eine App für Stellenangebote ausgeben, wobei es sich in beiden Fällen um trojanisierte Versionen legitimer Apps handelt. Die Geräte werden durch das Herunterladen und Installieren bösartiger Apps über Websites von Drittanbietern oder App-Stores infiziert.
Wie kann man die Installation von Malware vermeiden?
Laden Sie Anwendungen von offiziellen Quellen herunter (offizielle Seiten und App-Stores). Vermeiden Sie das Herunterladen von anderen Quellen, um das Herunterladen von bösartigen oder anderen unerwünschten Anwendungen zu vermeiden. Lesen Sie außerdem Rezensionen und überprüfen Sie Bewertungen, bevor Sie eine Anwendung installieren. Öffnen Sie keine Links in verdächtigen E-Mails oder Nachrichten von unbekannten Adressen oder Nummern.
Vermeiden Sie die Interaktion mit Pop-ups, Werbung, Schaltflächen und ähnlichen Inhalten, die auf fragwürdigen Websites angezeigt werden. Scannen Sie Ihre Geräte regelmäßig auf unerwünschte Anwendungen und entfernen Sie erkannte Bedrohungen. Halten Sie außerdem alle Apps und das Betriebssystem auf dem neuesten Stand.
Screenshot der trojanisierten Apps (NortirChat, ReblyChat, LapizaChat) mit AridSpy - Quelle: welivesecurity[.]com:
Andere Beispiele für Anwendungen, die zur Bereitstellung von AridSpy verwendet werden - Quelle: welivesecurity[.]com:
Screenshot von AridSpy, der zum Herunterladen der Nutzdaten der ersten Stufe auffordert - Quelle: welivesecurity[.]com:
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf aus dem Chrome-Webbrowser?
- Wie kann man Browser-Benachrichtigungen im Chrome-Webbrowser deaktivieren?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf aus dem Firefox-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann man den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
- Wie installiert man die neuesten Software-Updates?
- Wie kann ich das System auf den Standardzustand zurücksetzen?
- Wie lassen sich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Geschichte" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitbereich und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Einstellungen".
Scrollen Sie nach unten, bis Sie die Option "Seiteneinstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen, und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Berechtigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, wird sie möglicherweise erneut nach einer Genehmigung fragen. Sie können wählen, ob Sie diese Erlaubnis erteilen möchten oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und Sie werden nicht mehr nach der Erlaubnis gefragt).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehe zu "Einstellungen", scrolle nach unten, bis du "Apps" siehst und tippe darauf.
Scrolle nach unten, bis du die Anwendung "Chrome" findest, wähle sie aus und tippe auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "Alle Daten löschen" und bestätigen Sie die Aktion mit "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Geschichte" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein "Schloss") und wählen Sie "Site-Einstellungen bearbeiten".
In dem sich öffnenden Pop-up wählen Sie die Option "Benachrichtigungen" und tippen auf "Löschen".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehe zu "Einstellungen", scrolle nach unten, bis du "Apps" siehst und tippe darauf.
Scrolle nach unten, bis du die Anwendung "Firefox" findest, wähle sie aus und tippe auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehe zu "Einstellungen", scrolle nach unten, bis du "Apps" siehst und tippe darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Sicheren Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Der "Sicherheitsmodus" im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, um verschiedene Probleme zu diagnostizieren und zu lösen (z. B. entfernen Sie bösartige Anwendungen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die Taste "Ausschalten" und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippe auf das Symbol "Ausschalten" und halte es gedrückt. Nach ein paar Sekunden wird die Option "Sicherer Modus" angezeigt und du kannst sie durch einen Neustart des Geräts aktivieren.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Batterie" und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Akkuverbrauch darauf hinweisen, dass die Anwendung schädlich ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Datenverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, den Datenverbrauch so gering wie möglich zu halten. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die viele Daten verbraucht, obwohl Sie sie nie benutzen, raten wir Ihnen dringend, sie so bald wie möglich zu deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Software-Update" sehen und tippen Sie darauf.
Tippen Sie auf "Aktualisierungen manuell herunterladen" und prüfen Sie, ob Aktualisierungen verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen außerdem, die Option "Aktualisierungen automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf seinen Standardzustand zurück:
Ein Werksreset ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die im Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehe zu "Einstellungen", scrolle nach unten, bis du "Über das Telefon" siehst und tippe darauf.
Scrollen Sie nach unten, bis Sie "Rücksetzen" sehen und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardwerte zurücksetzen;
"Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardwerte zurücksetzen;
"Werksdaten zurücksetzen" - das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer prüfen, welche Anwendungen solche Rechte haben, und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Sperrbildschirm und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteverwaltungsanwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf sie und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Gerät ist mit der AridSpy-Malware infiziert. Sollte ich mein Speichergerät formatieren, um es loszuwerden?
Durch das Formatieren Ihres Speichermediums wird die AridSpy-Malware effektiv von Ihrem Gerät entfernt. Allerdings werden dabei auch alle Daten gelöscht. Es wird empfohlen, das infizierte Gerät mit einem seriösen Sicherheitstool wie Combo Cleaner zu scannen, um zu sehen, ob AridSpy erkannt und beseitigt werden kann, ohne das Speichergerät zu formatieren.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann erhebliche Probleme wie Datendiebstahl, Identitätsdiebstahl, finanzielle Verluste und zusätzliche Infektionen verursachen. Sie kann auch den normalen Gerätebetrieb stören und die Systemstabilität beeinträchtigen.
Was ist der Zweck von AridSpy?
Der Zweck von AridSpy ist es, sensible Daten zu sammeln und infizierte Geräte zu überwachen.
Wie hat AridSpy mein Gerät infiltriert?
AridSpy infiltriert Geräte in der Regel durch trojanisierte Anwendungen, die sich als legitime Software tarnen, oder durch betrügerische Downloads und Installationen.
Wird Combo Cleaner mich vor Malware schützen?
Combo Cleaner kann fast alle bekannte Malware effektiv erkennen und entfernen. Hochentwickelte Malware versteckt sich oft tief im System. Daher ist die Durchführung eines vollständigen Systemscans unerlässlich, um eine vollständige Erkennung und Entfernung sicherzustellen.
Ausgezeichnet!
▼ Diskussion einblenden