Entfernen der Spyware vom Typ Mandrake von Ihrem Android-Gerät
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Mandrake?
Mandrake ist eine Spyware, die auf Android-Geräte abzielt. Bösartige Software dieser Klassifizierung ist darauf ausgelegt, die Informationen der Opfer zu stehlen und aufzuzeichnen. Eines der Hauptziele von Mandrake ist es, Anmeldedaten zu erlangen.
Diese Malware gibt es seit mindestens 2016. Im Laufe der Jahre sind mehrere Varianten von Mandrake aufgetaucht, doch der Hauptzweck des Programms - Datendiebstahl - bleibt derselbe.
Die neuesten Versionen, die von 2022 bis 2024 reichen, wurden aktiv über Google Play verbreitet, wobei einige jahrelang unentdeckt blieben und mehr als 30.000 Downloads verzeichneten. Zu den wichtigsten Zielregionen von Mandrake gehören Nord- und Südamerika sowie Europa.
Überblick über die Malware Mandrake
Die verschiedenen Varianten von Mandrake haben das gleiche Ziel - die Opfer auszuspionieren und sensible Daten zu sammeln. Die neuesten Versionen unterscheiden sich deutlich in ihren Fähigkeiten zur Erkennung und Analyse von Schadprogrammen.
Zu den Verbesserungen in Bezug auf Erstere gehört die Erkennung, ob die Malware auf einem gerooteten Gerät, einer virtuellen Maschine oder in einer Sandbox-Umgebung gestartet wird. Das Programm sucht auch nach Tools, die von Analysten verwendet werden. Außerdem haben diese Varianten ihre bösartigen Funktionen in verschleierte systemeigene Bibliotheken verlagert, um nicht entdeckt zu werden.
Alle bekannten Mandrake-Versionen arbeiten in drei Stufen - Dropper, Loader und Hauptnutzlast. Nach dem Eindringen in das Gerät beginnt die Spyware mit dem Sammeln relevanter Gerätedaten, z. B. Geolokalisierungsdetails (IP-Adresse usw.), Gerätename und -ID, Informationen über das Mobilfunknetz, eine Liste der installierten Anwendungen und so weiter.
Die gesammelten Daten werden dann an den C&C-Server (Command and Control) gesendet. Sind die Informationen zur Zufriedenheit der Angreifer, geht die Malware zum nächsten Schritt über.
Mandrake kann die Opfer um Erlaubnis bitten, Overlays anzuzeigen und im Hintergrund zu laufen. Zu den zusätzlich abgefragten Daten gehören: Akkustand und Optimierungseinstellungen, Verbindungsstatus und Google Play-Version. Die Malware kann Wi-Fi aktivieren und Benachrichtigungen über die Installation von Apps anzeigen. Dieses Programm ist in der Lage, seine Anwendung zu starten, zu verstecken und anzuzeigen.
Wie in der Einleitung erwähnt, zielt Mandrake darauf ab, die Anmeldedaten (Benutzernamen/Passwörter) verschiedener Konten zu extrahieren und zu exfiltrieren. Die Spyware kann interaktive Webview-Overlays laden. Die Webansicht enthält eine benutzerdefinierte JavaScript-Schnittstelle, die dann zur Manipulation der geladenen Website verwendet wird.
Während die Seite geladen wird, macht Mandrake kontinuierlich Screenshots von ihr. Die Malware kann dann Befehle von ihrem C&C erhalten, um bestimmte Aktionen auszuführen, z. B. die Größe und Auflösung der Webansicht zu ändern, den Anzeigemodus zu wechseln (zwischen Startbildschirm und Webseite), die Seite zu scrollen, bestimmte Koordinaten zu wischen/anzuklicken, die Seite zu aktualisieren, ein- und auszuzoomen usw.
Alternativ kann Mandrake auch einen Bildschirmaufzeichnungsmodus aktivieren und darauf warten, dass das Opfer seine Anmeldedaten eingibt. Wenn diese Aktivität erkannt wird, kann die Spyware Browser-Cookies aus der Webansicht sammeln.
Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher könnten mögliche künftige Versionen von Mandrake zusätzliche/andere Fähigkeiten und Funktionen aufweisen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Schadsoftware wie Mandrake auf Geräten zu schwerwiegenden Datenschutzproblemen, erheblichen finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Mandrake malware |
| Bedrohungstyp | Android-Malware, Spyware, bösartige Anwendung. |
| Namen der Erkennung | Kaspersky (HEUR:Trojan-Spy.AndroidOS.Mandrake.j), Symantec Mobile Insight (AdLibrary:Generisk), ZoneAlarm von Check Point (HEUR:Trojan-Spy.AndroidOS.Mandrake.j), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch steigt erheblich, Browser werden auf fragwürdige Websites umgeleitet. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Verluste, gestohlene Identität (bösartige Apps könnten Kommunikations-Apps missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Spyware
Wir haben über unzählige bösartige Programme geschrieben; Kamran, Predator und Bahamut sind nur einige unserer Artikel über Android-spezifische Spyware. Das Aufzeichnen und Stehlen von Informationen sind Standardfunktionen für verschiedene Malware-Typen.
Software, die auf Daten abzielt, kann auf unglaublich kleine Details oder ein breites Spektrum an Informationen abzielen. Doch unabhängig davon, auf welche Daten (wenn überhaupt) ein bösartiges Programm abzielt - seine Anwesenheit auf einem System bedroht die Integrität des Geräts und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat Mandrake mein Gerät infiltriert?
Mandrake wurde über den Google Play Store unter dem Deckmantel verschiedener nützlicher Anwendungen weit verbreitet. Zwischen 2022 und 2024 wurden fünf solcher Anwendungen entdeckt: "Amber for Genshin","Astro Explorer","CryptPulsing","Brain Matrix" und"AirFS".
Einige Anwendungen wurden über Monate und sogar Jahre hinweg auf Google Play gehostet. AirFS - eine vermeintliche Dateifreigabeanwendung - blieb beispielsweise zwei Jahre lang (2022-2024) unbemerkt und wurde über 30.000 Mal heruntergeladen.
Denken Sie daran, dass andere Verkleidungen nicht unwahrscheinlich sind. Es ist nicht ungewöhnlich, dass Malware-Entwickler ihre Kreationen über echte Plattformen verbreiten, da dies den Eindruck von Legitimität vermittelt. In der Regel wird das Vorhandensein von Malware auf solchen Kanälen entdeckt und schnell entfernt; trotzdem kann es für Cyber-Kriminelle profitabel genug sein, den Plattformmissbrauch fortzusetzen.
Neben dem Missbrauch legitimer Download-Quellen wird Malware häufig über dubiose Download-Kanäle (z. B. Freeware und kostenlose Filehosting-Websites, Peer-to-Peer-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), Drive-by-Downloads (heimliche/trügerische Downloads), Online-Betrug, bösartige Anhänge/Links in Spam (z. B., E-Mails, SMS, DMs/PMs, Beiträge in sozialen Medien usw.), illegale Programmaktivierungs-Tools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, Software vor dem Herunterladen/Kauf zu recherchieren, indem Sie die Bedingungen und Experten-/Benutzerbewertungen lesen, die erforderlichen Berechtigungen prüfen, die Legitimität des Entwicklers verifizieren usw. Außerdem müssen alle Downloads von offiziellen und vertrauenswürdigen Quellen stammen.
Eine weitere Empfehlung lautet, Programme mit Funktionen/Tools zu aktivieren und zu aktualisieren, die von legitimen Entwicklern bereitgestellt werden, da illegale Produktaktivierungstools ("Cracking") und Updater von Drittanbietern Malware enthalten können.
Außerdem müssen eingehende E-Mails und andere Nachrichten mit Vorsicht genossen werden. Anhänge oder Links, die in verdächtigen/irrelevanten E-Mails enthalten sind, dürfen nicht geöffnet werden, da sie bösartig sein können. Wir raten zur Wachsamkeit beim Surfen, da betrügerische und gefährliche Online-Inhalte meist echt und harmlos erscheinen.
Es ist von größter Wichtigkeit, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit der Sicherheitssoftware müssen regelmäßige Systemscans durchgeführt und erkannte Bedrohungen und Probleme entfernt werden.
Erscheinungsbild bösartiger App-Tarnungen, die von Mandrake-Spyware verwendet werden (Bildquelle - Kaspersky):
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Verlauf".
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Einstellungen".
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen, und tippen Sie sie an.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen und zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie die Erlaubnis verweigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Verlauf".
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
(loadposition blog_back)
Deaktivieren Sie die Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern ausgeschaltet. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und prüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update veröffentlicht wird und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf sie und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit Mandrake-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die Mandrake-Malware verursachen kann?
Die mit einer Infektion verbundenen Bedrohungen hängen von den Fähigkeiten der Malware und der Vorgehensweise der Cyberkriminellen ab. Mandrake ist eine Spyware, die es auf verschiedene Anmeldeinformationen abgesehen hat. Im Allgemeinen können Infektionen dieser Art zu ernsthaften Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.
Was ist der Zweck von Mandrake-Malware?
Malware wird hauptsächlich zu Gewinnzwecken eingesetzt. Cyber-Kriminelle können bösartige Software jedoch auch einsetzen, um sich zu amüsieren, persönliche Rachefeldzüge durchzuführen, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen, Organisationen usw.) und politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die Mandrake-Malware in mein Android-Gerät eingedrungen?
Mandrake wurde aktiv über Google Play unter dem Deckmantel verschiedener harmlos aussehender Anwendungen verbreitet. Andere Verbreitungsmethoden sind nicht unwahrscheinlich.
Zu den weit verbreiteten Verbreitungstechniken gehören: Drive-by-Downloads, Spam-E-Mails/Nachrichten, Online-Betrug, Malvertising, nicht vertrauenswürdige Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen usw.), illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates. Einige bösartige Programme können sich sogar selbst über lokale Netzwerke und Wechseldatenträger verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner ist darauf ausgelegt, Systeme zu scannen und Bedrohungen zu beseitigen. Er kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Beachten Sie, dass sich hochwertige Schadsoftware in der Regel tief im System verbirgt - daher ist ein vollständiger Systemscan unerlässlich.
Ausgezeichnet!
▼ Diskussion einblenden