Wie man DocSwap von infizierten Android-Geräten entfernt
Verfasst von Tomas Meskauskas am
Was ist DocSwap?
DocSwap ist eine Android-Malware, die als "Document Viewing Authentication App" getarnt ist. Ihre Funktionen lassen vermuten, dass die Angreifer sie nutzen, um sensible Informationen von infizierten Geräten zu sammeln, wodurch persönliche Daten und die Sicherheit gefährdet werden können. Benutzer, die diese Malware unwissentlich installieren, sind möglicherweise mit Risiken für den Datenschutz konfrontiert, einschließlich Identitätsdiebstahl und Datenverletzungen.
DocSwap-Malware im Detail
DocSwap entschlüsselt zunächst eine versteckte APK-Datei und führt Schadcode aus, der in einer internen DEX-Datei gespeichert ist. Dazu verwendet er eine modifizierte Version des Open-Source-Projekts LoadedApkPlugin und fügt eine zusätzliche XOR-Verschlüsselungsebene hinzu, um die Erkennung und Analyse zu erschweren.
Nach der Entschlüsselung lädt die APK die DEX-Datei, die dann verschiedene bösartige Aktivitäten ausführt. Dazu gehören der Diebstahl sensibler Informationen durch Keylogging (unter Verwendung von Zugänglichkeitsdiensten), die Übertragung von Dateien über Netzwerk-Sockets, die Manipulation der Kamera des Geräts und die Aufzeichnung von Audio.
Die Malware extrahiert alle in ihrer Datei aufgeführten Berechtigungen und versucht, vollständigen Zugriff auf das Gerät zu erhalten. Wenn bestimmte Berechtigungen nicht automatisch gewährt werden, fordert die Malware den Benutzer aktiv auf, sie zu genehmigen. DocSwap sucht nach Berechtigungen zum Anzeigen und Ändern von Anrufprotokollen, zum Lesen, Bearbeiten und Löschen von Kontakten und zum Einleiten von Telefonanrufen.
Außerdem versucht er, Berechtigungen für den Zugriff auf Gerätestatus und -informationen, das Lesen und Schreiben externer Speicherdateien, das Abfangen, Senden und Lesen von SMS-Nachrichten sowie das Senden von Benachrichtigungen zu erhalten. Sobald diese Berechtigungen gewährt werden, kann die Malware Tastatureingaben aufzeichnen und andere bösartige Aktivitäten durchführen. Es ist bekannt, dass DocSwap über 50 Befehle ausführen kann.
Um aktiv zu bleiben, führt die DocSwap-Malware einen versteckten Hintergrunddienst aus, der automatisch gestartet wird, wenn das Telefon neu gestartet wird. Außerdem erstellt sie ständige Benachrichtigungen, um zu verhindern, dass das System sie deaktiviert.
Mit DocSwap können Cyber-Kriminelle Anmeldeinformationen, private Nachrichten und andere sensible Daten stehlen. Sie können auch Dateien aus der Ferne übertragen, die Kamera des Geräts aktivieren, um Benutzer auszuspionieren, und heimlich Audio aufzeichnen. Diese Malware ermöglicht es Angreifern, ihre Opfer zu überwachen, finanzielle oder persönliche Informationen zu stehlen und sie für Betrug, Identitätsdiebstahl und andere bösartige Zwecke zu verwenden.
| Name | DocSwap bösartige anwendung |
| Bedrohungstyp | Android-Malware, bösartige Anwendung, unerwünschte Anwendung. |
| Namen der Erkennung | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.FakeApp.aAD), ESET-NOD32 (Android/Spy.Agent.ECE), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Agent.amn), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, die Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch wird erheblich erhöht, Browser leiten zu fragwürdigen Websites um, aufdringliche Werbung wird angezeigt. |
| Verbreitungsmethoden | Document Viewing Authentication App, App-Stores von Drittanbietern/Inoffiziellen, betrügerische Links in betrügerischen Nachrichten, bösartige Werbung. |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnell entladener Akku, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Verluste, gestohlene Identität. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Schlussfolgerung
DocSwap ist eine gefährliche Android-Malware, die sensible Informationen stiehlt, Benutzer ausspioniert und auf infizierten Geräten bestehen bleibt. Seine Fähigkeiten stellen ernsthafte Risiken dar, einschließlich Datendiebstahl, Finanzbetrug und Verletzung der Privatsphäre. Um Schaden zu verhindern, ist es wichtig, sie schnell zu entfernen.
Weitere Beispiele für Android-Malware sind PlayPraetor, KoSpy, und SpyLend.
Wie hat DocSwap mein Gerät infiltriert?
Die DocSwap-Malware wird unter dem Deckmantel einer "Document Viewing Authentication App" verbreitet. Solche bösartigen Apps werden in der Regel über inoffizielle App-Stores von Drittanbietern, bösartige Werbung, Phishing- oder kompromittierte Websites oder bösartige Links, die per E-Mail oder über Messaging-Plattformen versendet werden, verbreitet. Benutzer führen bösartige Anwendungen oft unwissentlich aus.
Wie lässt sich die Installation von Malware vermeiden?
Laden Sie Apps immer von vertrauenswürdigen Quellen wie Google Play herunter und vermeiden Sie App-Stores von Drittanbietern oder ungeprüfte Websites. Klicken Sie nicht auf Links in unerwarteten oder verdächtigen E-Mails, SMS-Nachrichten oder Beiträgen in sozialen Medien, da diese Sie zu bösartigen Downloads oder anderen bösartigen Inhalten führen könnten.
Aktualisieren Sie Ihr Android-System und Ihre Apps regelmäßig, und stellen Sie sicher, dass Sie Google Play Protect für zusätzlichen Schutz aktivieren. Vertrauen Sie außerdem nicht auf Pop-ups, Werbung und ähnliche Elemente auf dubiosen Webseiten.
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Gerät ist mit der DocSwap-Malware infiziert. Sollte ich mein Speichergerät formatieren, um es loszuwerden?
Das Formatieren Ihres Speichermediums kann DocSwap entfernen. Es ist jedoch besser, ein vertrauenswürdiges Antivirus- oder Malware-Entfernungsprogramm wie Combo Cleaner zu verwenden, um Ihr Gerät zu scannen und zu säubern, da beim Formatieren alle auf dem Gerät gespeicherten Daten gelöscht werden.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann persönliche Daten stehlen, Dateien beschädigen, weitere bösartige Nutzdaten einschleusen und Geräte verlangsamen. Außerdem kann sie Angreifern die Kontrolle über ein System geben.
Was ist der Zweck von DocSwap?
Das Ziel von DocSwap ist es, sensible Informationen von Android-Geräten zu stehlen. Dazu können Anmeldeinformationen, persönliche Daten und andere private Informationen gehören. Die Malware nutzt dazu Keylogging, das Ausspionieren der Kamera des Geräts und die Aufzeichnung von Audiodaten.
Wie hat DocSwap mein Gerät infiltriert?
DocSwap ist wahrscheinlich über eine bösartige App in Ihr Gerät eingedrungen, die als legitime "Document Viewing Authentication"-App getarnt ist. Sie kann von einem inoffiziellen App-Store, einem verdächtigen Link, einer bösartigen Werbung oder einer ähnlichen Quelle heruntergeladen worden sein.
Schützt mich Combo Cleaner vor Malware?
Combo Cleaner kann fast alle bekannten Malware-Infektionen erkennen und entfernen. Allerdings versteckt sich fortgeschrittene Malware oft tief im System, so dass es wichtig ist, einen vollständigen Systemscan durchzuführen, um eine gründliche Entfernung sicherzustellen.
Ausgezeichnet!
▼ Diskussion einblenden