So entfernen Sie NGate Malware von Ihrem Android-Gerät
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist NGate?
NGate ist eine Android-spezifische Malware. Ziel dieser Software ist es, Cyberkriminelle in die Lage zu versetzen, Geldabhebungen von den Bankkonten der Opfer vorzunehmen. Die von NGate verwendete Technik zur Erleichterung dieser Aktivität könnte jedoch auch für andere bösartige Zwecke genutzt werden.
Zum Zeitpunkt der Erstellung dieses Berichts wurde diese Malware verwendet, um Kunden von drei tschechischen Banken anzugreifen, darunter die Tschechische Raiffeisenbank und die ČSOB (Československá obchodní banka). Es wurden sechs Varianten von NGate entdeckt, die jeweils so getarnt waren, dass sie zu den Zielbanken passten. Einer, der mit dieser Kampagne in Verbindung steht, wurde verhaftet, als er Geld von Geldautomaten in Prag abhob.
Überblick über die NGate Malware
NGate ist dafür bekannt, Android-Geräte über Smishing-Kampagnen (SMS-Phishing) zu infiltrieren, die stark auf Social-Engineering-Taktiken setzen. Sobald die Malware geöffnet wird, zeigt sie dem Opfer eine gefälschte Banking-Seite an. NGate nutzt PWAs oder WebAPKs, um Imitator-Apps zu erstellen; mehr über diese Technik erfahren Sie in unserem Artikel über die Malware Spy.Banker.
Auf der betrügerischen Seite wird der Empfänger aufgefordert, seine Daten einzugeben und die NFC-Funktion auf seinem Gerät zu aktivieren. Zu den angegriffenen Informationen können die Anmeldedaten für das Bankkonto des Opfers, das Geburtsdatum und die PIN-Nummer der Debit-/Kreditkarte gehören. NFC (Near-Field Communication) ist das Protokoll, das NGate missbraucht, um Abhebungen an Geldautomaten zu erleichtern.
Dieses Kommunikationsprotokoll wird verwendet, um Daten zwischen zwei Geräten zu übertragen. Die Malware verwendet ein Tool namens NFCGate, um NFC-Signale über einen Server an das Android-Gerät des Angreifers weiterzuleiten, das so präpariert ist, dass es das Telefon des Opfers imitiert. Durch eine sozial manipulierte Kommunikation wird das Opfer angewiesen, seine Bankkarte auf sein Telefon zu legen.
Im Wesentlichen handelt es sich dabei um den Prozess der Verknüpfung einer Karte mit einem Smartphone, der es dem Nutzer dann ermöglicht, kontaktlose Zahlungen mit seinem Telefon vorzunehmen. NGate sendet diese NFC-Daten an das Gerät des Angreifers und verknüpft so die Karte mit ihm. Der Cyberkriminelle kann das Telefon mit der emulierten Bankkarte verwenden, um das Geld des Opfers an einem Geldautomaten abzuheben. Es ist bemerkenswert, dass NGate auch verwendet werden kann, um das auf der Karte/dem Konto festgelegte Abhebungslimit zu ändern.
Für den Fall, dass die NFC-Methode fehlschlägt, verfügt die Malware über ein Backup-Protokoll, bei dem das Geld auf ein anderes Bankkonto überwiesen wird. Dies ist ein weniger wünschenswertes Szenario, da Banküberweisungen besser nachvollziehbar sind.
Wie in der Einleitung erwähnt, könnten NGate und seine Fähigkeit, NFC-Signale zu missbrauchen, um das Telefon des Opfers (und die damit verbundenen Inhalte) zu imitieren, für eine Vielzahl von schändlichen Taten genutzt werden. Es ist auch erwähnenswert, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher könnten potenzielle künftige Varianten von NGate über zusätzliche/andere Funktionen verfügen oder für andere Zwecke verwendet werden.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie NGate auf Geräten zu ernsthaften Datenschutzproblemen, erheblichen finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | NGate virus |
| Bedrohung Typ | Android-Malware, bösartige Anwendung |
| Namen der Erkennung | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Banker.NGate.1.origin), ESET-NOD32 (Android/Spy.NGate.B), Kaspersky (HEUR:Trojan-Banker.AndroidOS.NGate.a), vollständige Liste (VirusTotal) |
| Symptome | Die Malware ist so konzipiert, dass sie sich unbemerkt in den Computer des Opfers einschleicht und keine besonderen Symptome auf einem infizierten Computer zu erkennen sind. |
| Verbreitungsmethoden | Spam-SMS, infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Geldverluste, gestohlene Identität (bösartige Anwendungen könnten Kommunikationsanwendungen missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Android-spezifische Malware-Beispiele
Wir haben über unzählige Schadprogramme geschrieben; LianSpy, BlankBot, BingoMod und GuardZoo sind nur einige Beispiele für solche, die auf Android-Betriebssysteme abzielen.
Malware ist ein weit gefasster Begriff, der Programme mit verschiedenen schädlichen Fähigkeiten und Zwecken umfasst. Unabhängig davon, wie bösartige Software funktioniert, bedroht ihr Vorhandensein auf einem System die Sicherheit von Geräten und Benutzern. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung entfernt werden.
Wie hat NGate mein Gerät infiltriert?
Die bekannte NGate-Kampagne begann mit Spam-SMS, die wahrscheinlich zufällig verschickt wurden (Smishing). In der SMS ging es um eine Steuererklärung, aber auch andere Köder sind wahrscheinlich. Die SMS führt zu einer bösartigen Seite, die sich als Online-Bank-Website ausgibt und von der das Opfer NGate herunterlädt.
Nach dem Zugriff fordert die Malware (als Bank-App getarnt) den Nutzer auf, seine Bankdaten (z. B. Anmeldedaten) anzugeben. Danach wird das Opfer von Cyberkriminellen kontaktiert, die vorgeben, der offizielle Support ihrer Bank zu sein. Sie behaupten, dass das Gerät kompromittiert wurde, und geben dem Opfer Anweisungen, wie es seine PIN ändern soll (indem es die alte PIN in die Imitator-App NGate eingibt) und seine Bankkarte auf das Telefon legt (z. B. zur Überprüfung).
NGate kann jedoch auf unterschiedliche Weise funktionieren, und dies gilt auch für die Methoden, die zur Verbreitung des Programms verwendet werden.
Malware wird in der Regel als normale Software/Medien getarnt oder mit diesen gebündelt. Zu den weit verbreiteten Verbreitungstechniken gehören: bösartige Anhänge/Links in Spam (z. B. SMS, E-Mails, PMs/DMs, Beiträge in sozialen Medien usw.), Drive-by-Downloads, dubiose Download-Kanäle (z. B. Freeware- und Free-File-Hosting-Websites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), Online-Betrug, raubkopierte Inhalte, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates.
Einige bösartige Programme können sich sogar über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, Software vor dem Herunterladen/Kauf zu recherchieren, indem Sie die Bedingungen und Experten-/Benutzerbewertungen lesen, die erforderlichen Berechtigungen überprüfen und die Legitimität des Entwicklers verifizieren. Alle Downloads müssen von offiziellen und verifizierten Quellen stammen. Software muss mit echten Funktionen/Werkzeugen aktiviert und aktualisiert werden, da die von Dritten bezogenen Programme Malware enthalten können.
Eine weitere Empfehlung ist, beim Surfen wachsam zu sein, da betrügerische und bösartige Online-Inhalte meist legitim und harmlos erscheinen. Wir raten zur Vorsicht bei eingehenden E-Mails, PMs/DMs, SMS usw. Anhänge oder Links, die in verdächtigen/irrelevanten Nachrichten gefunden werden, dürfen nicht geöffnet werden, da sie bösartig sein können.
Es ist von größter Bedeutung, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen und Probleme zu entfernen.
Auftreten von bösartigen Seiten, die sich als Bank-Websites und Google Play ausgeben und zur Verbreitung von NGate verwendet werden (Quelle: welivesecurity.com):
Screenshot eines NGate, das sich als polnische Bankanwendung ausgibt, um NFC-Daten und PIN-Codes der Karte zu stehlen. Nach dem Erwerb dieser Daten können die Cyberkriminellen mit Hilfe des kontaktlosen Terminals Geld vom Geldautomaten abheben, ohne eine physische Karte zu benötigen; Quelle: ESET Research:
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power" - Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit NGate-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten so drastische Maßnahmen.
Was sind die größten Probleme, die NGate Malware verursachen kann?
Die mit einer Infektion verbundenen Gefahren hängen von den Fähigkeiten der Malware und den Zielen der Cyber-Kriminellen ab. NGate zielt darauf ab, Geldabhebungen von den Bankkonten der Opfer zu erleichtern. Dies wird erreicht, indem das NFC-Protokoll missbraucht wird, um Bankkarten zu imitieren. Die Malware kann auch für betrügerische Transaktionen verwendet werden. Daher kann NGate ernsthafte Datenschutzprobleme, finanzielle Verluste und möglicherweise Identitätsdiebstahl verursachen.
Was ist der Zweck der NGate Malware?
Malware wird hauptsächlich aus Profitgründen und aufgrund ihrer Funktionalitäten eingesetzt - NGate ist da keine Ausnahme. Andere Beweggründe für Malware-Infektionen sind Angreifer, die sich amüsieren wollen, persönlicher Groll, Hacktivismus und politische/geopolitische Gründe.
Wie hat die NGate Malware mein Android Gerät infiltriert?
NGate wird über Smishing und Social Engineering verbreitet (d. h. Angreifer instruieren ihre Opfer per Telefonanruf). Andere Methoden sind ebenfalls möglich. Im Allgemeinen wird Malware über Spam (z. B. SMS, PMs/DMs, E-Mails, Beiträge in sozialen Medien), Online-Betrug, Drive-by-Downloads, verdächtige Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), raubkopierte Inhalte, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates verbreitet. Außerdem können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu beseitigen. Es muss betont werden, dass die Durchführung eines vollständigen Systemscans unerlässlich ist, da sich hochwertige Schadsoftware in der Regel tief im System versteckt.
Ausgezeichnet!
▼ Diskussion einblenden