Wie Sie die SpyAgent-Malware von Ihrem Android-Gerät entfernen
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist SpyAgent?
SpyAgent ist ein bösartiges Programm, das auf Android-Geräte abzielt. Diese Malware verfügt über mehrere Funktionen zum Stehlen von Daten, die zum Stehlen von Kryptowährungs-Wallets verwendet wurden. SpyAgent infiltriert Systeme unter dem Deckmantel legitimer oder unschuldig klingender Anwendungen; fast 300 gefälschte Anwendungen wurden entdeckt.
Seit Januar 2024 zielt diese Malware auf koreanische Nutzer ab. Zum Zeitpunkt der Erstellung dieses Berichts ist jedoch eine Ausweitung auf neue Gebiete zu beobachten. SpyAgent wird weithin über Phishing-Kampagnen verbreitet, insbesondere über Spam-SMS (Smishing) und DMs/PMs (Direct/Private Messages).
Überblick über SpyAgent-Malware
Nach der Installation fordert SpyAgent (getarnt als harmlose App) verschiedene Berechtigungen an, z. B. den Betrieb im Hintergrund sowie den Zugriff auf den Gerätespeicher, die Kontakte und SMS. SpyAgent zielt auf Gerätedaten ab, einschließlich einer Liste von Telefonkontakten.
Die Malware kann SMS-Inhalte (einschließlich OTPs und 2FAs/MFAs) stehlen und Textnachrichten senden. Da das Programm SMS verschicken kann, könnte es die Geräte der Opfer für Smishing nutzen (was sich wahrscheinlich von selbst verbreitet), oder es könnte als Malware für Toll Fraud arbeiten. SpyAgent kann auch die Toneinstellungen des Telefons ändern, möglicherweise um den Ton für eingehende SMS stumm zu schalten.
Das Programm bedient sich jedoch noch weiterer Methoden, um seine bösartigen Aktivitäten zu verbergen und die Benutzer abzulenken. So kann die gefälschte App den Opfern zum Beispiel endlose Ladebildschirme und vorübergehend leere/dunkle Bildschirme vorgaukeln, und sie kann betrügerische Weiterleitungen zu verschiedenen Websites erzeugen.
Außerdem stiehlt SpyAgent Bilder und Fotos. Es wurde festgestellt, dass das primäre Ziel der Malware darin besteht, Bilder zu suchen, in der Hoffnung, solche zu finden, die Phrasen zur Wiederherstellung von Kryptowährungs-Wallets (Mnemonic) enthalten. Durch Extrahieren dieser Passphrasen können Angreifer die entsprechenden Kryptowährungen und die darin gespeicherten digitalen Vermögenswerte stehlen.
Es muss erwähnt werden, dass diese Transaktionen aufgrund ihrer nahezu unauffindbaren Natur nicht rückgängig gemacht werden können und die Opfer ihre Gelder nicht zurückerhalten.
Malware-Entwickler verbessern ihre Software und Methoden häufig, und die für SpyAgent Verantwortlichen bilden da keine Ausnahme. Dieses Programm hat mehrere Verbesserungen erfahren, darunter eine bessere Verschleierung, neue Techniken für die Ansprache von Opfern und eine Ausweitung auf neue Regionen. Das Admin-Panel der Malware hat einen "iPhone"-Abschnitt. Obwohl sie derzeit nicht mit iOS-Geräten kompatibel ist, könnte dies ein Hinweis auf die zukünftigen Pläne der Entwickler sein.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Schadsoftware wie SpyAgent auf Geräten zu schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und sogar Identitätsdiebstahl führen kann.
| Name | SpyAgent virus |
| Bedrohung Typ | Android-Malware, bösartige Anwendung |
| Namen der Erkennung | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Siggen.Susp.14673), ESET-NOD32 (Eine Variante von Android/Spy.OcrSpy.A), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.rc), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch steigt erheblich, Browser werden auf fragwürdige Websites umgeleitet. |
| Verbreitungsmethoden | SMS- und PM/DM-Spam, infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Geldverluste, gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnell entladener Akku, verringerte Internetgeschwindigkeit, große Datenverluste, gestohlene Identität (bösartige Apps könnten Kommunikations-Apps missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Android-spezifische Malware-Erkennungen
Wir haben unzählige Malware-Samples untersucht; EagleSpy, Rocinante und Copybara sind nur einige unserer jüngsten Artikel über bösartige Programme, die auf Android-Geräte abzielen.
Schadsoftware kann auf unterschiedlichste Art und Weise operieren; sie kann eine unglaublich spezifische Reihe von Fähigkeiten oder ein breites Spektrum haben. Unabhängig davon, wie bösartige Software arbeitet, gefährdet ihr Vorhandensein die Geräteintegrität und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung entfernt werden.
Wie hat SpyAgent mein Gerät infiltriert?
Wie bereits in der Einleitung erwähnt, wurde festgestellt, dass SpyAgent über Phishing-Kampagnen verbreitet wird, die durch Spam-SMS und private/direkte Nachrichten (PMs/DMs) erleichtert werden. Die Spam-Nachrichten können als Nachrichten von echten Unternehmen oder harmlos klingenden Absendern getarnt sein.
Diese SMS und PMs/DMs verleiten die Opfer dazu, bösartige Webseiten zu öffnen, von denen einige das Design legitimer Websites perfekt kopieren. SpyAgent tarnt sich auf verschiedene Weise, von Software, die mit staatlichen Stellen in Verbindung steht, bis hin zu Streaming-Anwendungen. Es wurden zweihundertachtzig Anwendungen entdeckt.
Seit dem frühen Winter 2024 wurde SpyAgent in Kampagnen eingesetzt, die auf koreanische Nutzer abzielten. Zum Zeitpunkt der Recherche wurde eine neue Kampagne beobachtet, die sich auf britische Nutzer konzentrierte.
Da SpyAgent Textnachrichten versenden kann, könnte es die Geräte der Opfer nutzen, um Smishing-Kampagnen zu starten. So könnten die von SpyAgent verbreiteten SMS von bekannten Absendern stammen, d. h. an die Kontakte des ursprünglichen Opfers gesendet werden. Es sind jedoch auch andere Verbreitungsmethoden möglich.
Zu den am weitesten verbreiteten Malware-Verbreitungstechniken gehören: bösartige Anhänge oder Links in Spam-Mails (z. B. SMS, PMs/DMs, E-Mails, Beiträge in sozialen Medien usw.), Drive-by-Downloads (heimliche/trügerische Downloads), Online-Betrug, Malvertising, dubiose Download-Kanäle (z. B. Freeware- und kostenlose Filehosting-Websites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), illegale Software-Aktivierungs-Tools ("Cracks") und gefälschte Updates.
Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, bei eingehenden Nachrichten (z. B. E-Mails, PMs/DMs, SMS usw.) Vorsicht walten zu lassen. Anhänge oder Links, die in verdächtigen/irrelevanten Nachrichten enthalten sind, dürfen nicht geöffnet werden, da sie bösartig sein können. Eine weitere Empfehlung lautet, beim Surfen vorsichtig zu sein, da das Internet voll von gut getarnten betrügerischen und gefährlichen Inhalten ist.
Außerdem müssen alle Downloads von offiziellen und überprüften Quellen stammen. Software muss mit Funktionen/Werkzeugen aktiviert und aktualisiert werden, die von seriösen Entwicklern bereitgestellt werden, da diese von Drittanbietern stammen und Malware enthalten können.
Für die Integrität des Geräts und die Sicherheit des Benutzers ist es entscheidend, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit Hilfe von Sicherheitsprogrammen müssen regelmäßige Systemüberprüfungen durchgeführt und erkannte Bedrohungen entfernt werden.
Beispiele für Spam-Nachrichten, mit denen Opfer zum Herunterladen von SpyAgent verleitet werden sollen (Bildquelle - McAfee):
Beispiel für eine gefälschte Website, die für SpyAgent wirbt, und die gefälschte Anwendung, die um Erlaubnis bittet (Bildquelle - McAfee):
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Verlauf".
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Einstellungen".
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen, und tippen sie an.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen und zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie die Erlaubnis verweigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im geöffneten Dropdown-Menü "Verlauf".
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern ausgeschaltet. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und prüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update veröffentlicht wird und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf sie und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit SpyAgent-Malware infiziert. Sollte ich mein Speichergerät formatieren, um es loszuwerden?
Die Entfernung von Malware erfordert nur selten solch drastische Maßnahmen.
Was sind die größten Probleme, die SpyAgent-Malware verursachen kann?
Die Gefahren, die von einer Infektion ausgehen, hängen von den Funktionen der Malware und den Zielen der Cyber-Kriminellen ab. SpyAgent kann SMS stehlen und versenden sowie Bilder von den Geräten der Opfer herunterladen. Dieses Programm wurde verwendet, um gestohlene Bilder nach Anmeldeinformationen für Kryptowährungen (Passphrasen) zu durchsuchen. Infektionen dieser Art sind mit ernsthaften Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl verbunden.
Was ist der Zweck von SpyAgent-Malware?
Malware wird in den meisten Fällen zu Gewinnzwecken eingesetzt. Cyber-Kriminelle können bösartige Software jedoch auch einsetzen, um sich zu amüsieren, persönliche Rachefeldzüge durchzuführen, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen, Organisationen usw.) und politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die SpyAgent-Malware in mein Android-Gerät eingedrungen?
SpyAgent wurde aktiv über SMS und DM/PM-Spam unter dem Deckmantel legitimer/unschuldig aussehender Anwendungen verbreitet. Andere Methoden sind möglich.
Abgesehen von Spam wird Malware häufig über Drive-by-Downloads, Online-Betrügereien, Malvertising, verdächtige Download-Quellen (z. B. Freeware- und kostenlose Filehosting-Websites, Peer-to-Peer-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), illegale Software-Aktivierungs-Tools ("Cracks") und gefälschte Updates verbreitet. Außerdem können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner ist darauf ausgelegt, Geräte zu scannen und alle Arten von Bedrohungen zu beseitigen. Er kann praktisch alle bekannten Malware-Infektionen erkennen und entfernen. Denken Sie daran, dass die Durchführung eines vollständigen Systemscans von größter Bedeutung ist, da sich ausgeklügelte bösartige Programme in der Regel tief im System verstecken.
Ausgezeichnet!
▼ Diskussion einblenden