Wie man den Crocodilus-Trojaner von seinem Android-Gerät entfernt
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Crocodilus?
Crocodilus ist ein Trojaner, der auf Android-Betriebssysteme abzielt. Diese Malware versucht, Anmeldeinformationen, finanzbezogene Daten und Kryptowährungs-Wallets zu stehlen. Sie verfügt über RAT-Funktionen (Remote Access Trojan) und kann Overlay-Angriffe durchführen.
Es gibt Hinweise darauf, dass die Bedrohungsakteure, die Crocodilus einsetzen, türkischsprachig sind. Dieses Programm wurde in Kampagnen beobachtet, die auf türkische und spanische Benutzer abzielten, aber es ist sehr wahrscheinlich, dass das Zielgebiet auf andere Regionen ausgeweitet wird.
Überblick über die Crocodilus Malware
Nach der Installation fordert Crocodilus die Berechtigung für den Eingabehilfedienst an. Android-Zugänglichkeitsdienste bieten Nutzern, die sie benötigen, zusätzliche Hilfe bei der Interaktion mit dem Gerät; sie verfügen über viele Funktionen - vom Lesen des Bildschirms bis zur Simulation des Touchscreens. Bösartige Programme, die diese Dienste missbrauchen, erhalten alle ihre Funktionalitäten.
Sobald diese Erlaubnis erteilt wird, stellt Crocodilus eine Verbindung zu seinem C&C-Server (Command and Control) her. Dieser Trojaner kann die Sicherheitsbeschränkungen von Android 13 und späteren Betriebssystemversionen umgehen. Er sammelt relevante Gerätedaten (einschließlich einer Liste der installierten Anwendungen) und sendet die Informationen an seinen C&C-Server. Crocodilus kann dann Befehle und Overlays für installierte Anwendungen von Interesse empfangen.
Diese Malware kann folgende Befehle ausführen: Geräteverwaltungsrechte anfordern, Ton aktivieren/deaktivieren, das Gerät sperren, Maßnahmen gegen das Löschen durchführen, sich selbst beenden, bestimmte Apps öffnen, Benachrichtigungen anzeigen, Kontaktlisten abrufen, Anrufe weiterleiten und SMS verwalten.
Crocodilus kann Textnachrichten auf verschiedene Weise manipulieren, z. B. sich selbst als Standard-SMS-Manager festlegen, SMS an eine bestimmte Nummer oder an alle Kontakte senden (mit der Option, nur eine einzelne Nachricht oder eine große Anzahl zu senden) und SMS-Inhalte erfassen.
Die SMS-Fähigkeiten des Trojaners erlauben es, ihn als Toll Fraud Malware zu verwenden; zum Zeitpunkt der Erstellung dieses Artikels wurde er jedoch noch nicht in dieser Funktion eingesetzt. Da dieses Programm SMS in großen Mengen versenden kann, könnte es zum Versenden von Spam oder sogar zur Selbstvermehrung durch in Textnachrichten enthaltene Köder verwendet werden.
Crocodilus überwacht kontinuierlich die Geräteaktivitäten und verfolgt geöffnete Anwendungen. Wenn ein Opfer also eine Anwendung startet, für die die Angreifer Overlays vorbereitet haben, legt die Malware einen Phishing-Bildschirm über die Anwendung, der die eingegebenen Informationen aufzeichnet (z. B. Anmeldedaten, persönliche Daten, Kredit-/Debitkartennummern usw.). Alternativ kann Crocodilus auch selbst eine bestimmte Anwendung öffnen und den Overlay-Angriff durchführen.
Es wurde auch beobachtet, dass die Malware zusätzliche Bildschirme verwendet und sich nicht nur auf Imitationen von echten Anmelde- oder Zahlungsfenstern beschränkt. So wurde festgestellt, dass Crocodilus eine Nachricht anzeigt, die anweist: "Sichern Sie Ihren Wallet-Schlüssel innerhalb von 12 Stunden in den Einstellungen. Andernfalls wird die App zurückgesetzt, und Sie können den Zugriff auf Ihre Geldbörse verlieren". - Dadurch wird das Opfer dazu verleitet, seine Anmeldedaten für die Kryptowährungs-Brieftasche preiszugeben.
Dieses Programm verfügt über ausgefeilte Keylogging-Fähigkeiten (Aufzeichnung von Tastatureingaben); es nutzt die Accessibility Services, um alle Elemente auf dem Bildschirm zu überwachen, nicht nur die Tastatureingaben.
Wie bereits in der Einleitung erwähnt, verfügt Crocodilus über RAT-Funktionen (Remote Access Trojan). Mit anderen Worten: Diese Malware kann den Fernzugriff auf und die Kontrolle über Geräte ermöglichen.
Es gibt einige Überschneidungen zwischen den Standard- und den RAT-Befehlen; zu den Befehlen, die ausschließlich für letztere gelten, gehören: Interaktion mit der Benutzeroberfläche (z. B. Wischbewegungen, Drücken von Elementen, Aufrufen von "Zurück"-, "Home"- und "Menü"-Tasten usw.), Aufwecken des Geräts, Ändern und Schreiben von Text in hervorgehobenen Bereichen und Live-Streaming über die Frontkamera des Geräts.
Es ist erwähnenswert, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher könnten mögliche zukünftige Versionen von Crocodilus zusätzliche/andere Funktionen und Merkmale aufweisen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Crocodilus auf Geräten zu schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Crocodilus malware |
| Bedrohungstyp | Android-Malware, bösartige Anwendung, Trojaner, Banking-Trojaner. |
| Namen der Erkennung | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aAZVL), ESET-NOD32 (Android/Spy.Cerberus.DH), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.eq), vollständige Liste (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Verluste, gestohlene Identität (bösartige Apps könnten Kommunikations-Apps missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Android-spezifische Malware
Wir haben über Tausende von Schadprogrammen geschrieben; PlayPraetor, Marcher und ToxicPanda sind nur einige unserer neuesten Artikel über Android-spezifische Trojaner.
Malware ist ein Begriff, der Software mit einer Vielzahl von bösartigen Fähigkeiten umfasst. Diese Programme können für einen bestimmten Zweck oder einen breiten Anwendungsbereich konzipiert sein. Unabhängig von der Funktionsweise der Malware bedroht ihr Vorhandensein auf einem System die Integrität des Geräts und die Sicherheit der Benutzer. Daher ist es wichtig, alle Bedrohungen sofort nach ihrer Entdeckung zu entfernen.
Wie hat Crocodilus mein Gerät infiltriert?
Malware wird hauptsächlich durch Phishing und Social-Engineering-Methoden verbreitet. Sie ist oft als gewöhnliche Programm-/Mediendateien getarnt oder mit ihnen gebündelt.
Zu den am weitesten verbreiteten Verbreitungsmethoden gehören: Drive-by-Downloads (heimliche/trügerische Downloads), nicht vertrauenswürdige Download-Kanäle (z. B. Freeware- und kostenlose Filehosting-Sites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), Malvertising, bösartige Anhänge/Links in Spam-Mails (z. B. E-Mails, SMS, PMs/DMs usw.), Online-Betrug, illegale Software-Aktivierungs-Tools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, sich über Software zu informieren, indem Sie die Bedingungen und Nutzer-/Expertenbewertungen lesen, die erforderlichen Berechtigungen prüfen und die Legitimität des Entwicklers verifizieren. Alle Downloads müssen von offiziellen und verifizierten Quellen stammen. Eine weitere Empfehlung ist, Programme mit Funktionen/Tools zu aktivieren und zu aktualisieren, die von echten Entwicklern bereitgestellt werden, da diese von Drittanbietern stammen und Malware enthalten können.
Darüber hinaus müssen eingehende E-Mails und andere Nachrichten mit Vorsicht genossen werden. Anhänge oder Links, die in verdächtigen/irrelevanten E-Mails gefunden werden, dürfen nicht geöffnet werden, da sie infektiös sein können. Es ist wichtig, beim Surfen wachsam zu sein, da das Internet voll von trügerischen und bösartigen Inhalten ist.
Wir müssen betonen, wie wichtig es ist, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Die Sicherheitssoftware muss für regelmäßige Systemüberprüfungen und die Beseitigung von Bedrohungen und Problemen eingesetzt werden.
Crocodilus-Trojaner, der die Berechtigung "Accessibly Service" anfordert (Bildquelle: ThreatFabric):
Beispiel für ein vom Crocodilus-Trojaner angezeigtes Overlay (Bildquelle: ThreatFabric):
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power" Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit Crocodilus-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die Crocodilus-Malware verursachen kann?
Die Gefahren, die von einer Infektion ausgehen, hängen von den Fähigkeiten des Schadprogramms und der Vorgehensweise der Cyberkriminellen ab. Crocodilus kann aus der Ferne auf Geräte zugreifen bzw. diese steuern und hat es auf finanzrelevante Informationen abgesehen. Im Allgemeinen können Infektionen dieser Art zu schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.
Was ist der Zweck der Crocodilus-Malware?
Malware wird in erster Linie eingesetzt, um Einnahmen zu erzielen. Cyberkriminelle können bösartige Software jedoch auch einsetzen, um sich selbst zu amüsieren, persönliche Rachefeldzüge durchzuführen, Hacktivismus zu betreiben, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen usw.) und politisch/geopolitisch motivierte Angriffe zu starten.
Wie hat die Crocodilus-Malware mein Android-Gerät infiltriert?
Malware wird hauptsächlich über Drive-by-Downloads, Spam-Mails, Online-Betrug, Malvertising, verdächtige Download-Quellen (z. B. inoffizielle und kostenlose Filehosting-Websites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), gefälschte Updater und illegale Software-Aktivierungstools ("Cracking") verbreitet. Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird Combo Cleaner mich vor Malware schützen?
Combo Cleaner ist in der Lage, praktisch alle bekannten Malware-Infektionen zu erkennen und zu entfernen. Es muss betont werden, dass die Durchführung eines vollständigen Systemscans von größter Wichtigkeit ist, da hochentwickelte bösartige Programme dazu neigen, sich tief im System zu verstecken.
Ausgezeichnet!
▼ Diskussion einblenden