So entfernen Sie XploitSPY Malware von Ihrem Android-Gerät
Verfasst von Tomas Meskauskas am
Welche Art von Malware ist XploitSPY?
XploitSPY ist eine Android-spezifische Malware. Dieses Programm basiert auf dem L3MON RAT (Remote Access Trojan - Fernzugrifftrojaner). XploitSPY verfügt über umfangreiche Funktionen zum Datendiebstahl und wurde beim Einschleusen von Geräten beobachtet, die mit verschiedenen legitim aussehenden Anwendungen gebündelt waren.
Diese Malware gibt es seit spätestens 2021. Es wurde festgestellt, dass sie aktiv auf Benutzer in Südasien, insbesondere in Indien und Pakistan, abzielt.
Übersicht über die XploitSPY Malware
XploitSPY ist gut verschleiert und nutzt Anti-Analyse-Mechanismen. Diese Malware kann eine Liste der installierten Anwendungen erfassen. Sie kann auch Dateien auf den Geräten der Opfer durchsuchen und die interessanten Dateien exfiltrieren (basierend auf Verzeichnis und Dateiname).
Darüber hinaus sammelt XploitSPY Geostandortdaten, wie IP-Adressen und GPS-Standorte. Sie zielt auf Informationen in Bezug auf Messaging-Anwendungen, einschließlich Signal, Telegram und WhatsApp. XploitSPY versucht, Anmeldeinformationen und andere mit verschiedenen Konten verbundene Daten zu extrahieren.
Das Programm versucht, Nachrichten abzufangen, indem es auf Benachrichtigungen abzielt, die die Zeichenfolge "neue Nachrichten" enthalten. XploitSPY sammelt Kontaktlisten, Anrufprotokolle und SMS-Nachrichten. Eine weitere Funktion ist der Versand von SMS - daher könnte dieses Programm als Toll Fraud-Malware verwendet werden.
XploitSPY hat auch Spyware-Eigenschaften, d. h. es kann mit der Kamera des Geräts Fotos aufnehmen und über das Mikrofon Audioaufnahmen machen.
Es ist wichtig zu erwähnen, dass die Entwickler von Malware ihre Software und Methoden häufig verbessern. Potenzielle zukünftige Varianten von XploitSPY könnten daher zusätzliche/andere Fähigkeiten und Merkmale aufweisen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie XploitSPY auf Geräten zu schweren Datenschutzproblemen, finanziellen Einbußen und Identitätsdiebstahl führen kann.
| Name | XploitSPY Virus |
| Art der Bedrohung | Android Malware, bösartige Anwendung |
| Erkennungsnamen | Avast-Mobile (Android:L3mon-B [Spy]), DrWeb (Android.Spy.678.origin), ESET-NOD32 (eine Variante von Android/Spy.XploitSPY.A), Fortinet (Android/Agent.BEH!tr.spy), Kaspersky (HEUR:Backdoor.AndroidOS.Ahmyth.m), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch steigt erheblich. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Webseiten. |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Anmeldedaten/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Einbußen, gestohlene Identität (bösartige Anwendungen können Kommunikationsanwendungen missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Android-spezifische Malware
GoldPickaxe, Greenbean, Aesimus und Joker sind lediglich einige Beispiele für Android-zentrierte Malware, über die wir geschrieben haben. Bösartige Programme können eine Vielzahl von Fähigkeiten haben, die nicht auf die Klassifizierung der Software beschränkt sind. Verschiedene Arten von Malware können beispielsweise Funktionen zum Stehlen und Verfolgen von Daten besitzen.
Unabhängig von der Funktionsweise bösartiger Software gefährdet ihr Vorhandensein auf einem System die Geräteintegrität und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung entfernt werden.
Wie hat XploitSPY mein Gerät infiltriert?
Es wurde beobachtet, dass XploitSPY zusammen mit verschiedenen harmlos aussehenden Anwendungen verbreitet wird. Bei den meisten Anwendungen handelte es sich um funktionale Messenger, und einige imitierten legitime Software.
Einige der Namen/Apps, die zur Verbreitung von XploitSPY verwendet werden, sind: Alpha Chat, ChitChat, Defcom, Dink Messenger, Expense Tracker, PrivateChat, SafeChat, Shah jee Foods, Specialist Hospital app, Telco DB app, WeTalk (WeChat Nachahmer), Wicker Messenger, Zaangi Chat und zahllose andere.
Diese Anwendungen wurden über betrügerische Werbe-Webseiten, GitHub und - für kurze Zeit - über den Google Play Store verbreitet.
Es ist jedoch erwähnenswert, dass XploitSPY auch mit anderen Techniken verbreitet werden kann. Malware wird hauptsächlich durch Phishing und Social-Engineering-Taktiken verbreitet. Bösartige Software ist häufig als echte/gewöhnliche Programm- und Mediendateien getarnt oder mit ihnen gebündelt.
Zu den am weitesten verbreiteten Verbreitungsmethoden gehören: Drive-by-Downloads (heimliche/trügerische Downloads), Online-Betrügereien, bösartige Anhänge/Links in Spam (z. B. E-Mails, DN/PN, SMS, Beiträge in sozialen Medien/Foren usw.), Malvertising, nicht vertrauenswürdige Download-Quellen (z. B. Freeware und kostenlose Filehosting-Webseiten, Peer-to-Peer-Tauschnetzwerke, App-Stores von Drittanbietern usw.), raubkopierte Programme/Medien, illegale Software-Aktivierungswerkzeuge ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wie vermeidet man die Installation von Malware?
Wir empfehlen dringend, die Software zu recherchieren, indem Sie die Bedingungen und Experten-/Benutzerbewertungen lesen, die erforderlichen Berechtigungen prüfen, die Legitimität des Entwicklers verifizieren usw. Außerdem müssen alle Downloads über offizielle und überprüfte Kanäle erfolgen.
Eine weitere Empfehlung ist die Aktivierung und Aktualisierung von Software mit Funktionen/Werkzeugen, die von legitimen Entwicklern bereitgestellt werden, da illegale Aktivierungswerkzeuge ("Cracks") und Updates von Dritten Malware enthalten können.
Wir raten dringend zur Vorsicht beim Surfen, da gefälschte und bösartige Online-Inhalte meist echt und harmlos erscheinen. Eingehende E-Mails und andere Nachrichten müssen mit Vorsicht behandelt werden. Anhänge oder Links in dubiosen/irrelevanten Mails dürfen nicht geöffnet werden, da sie infektiös sein können.
Für die Sicherheit von Geräten und Benutzern ist es unerlässlich, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um das System regelmäßig zu überprüfen und erkannte Bedrohungen zu entfernen.
Beispiele für Apps, die mit XploitSPY Malware gebündelt sind (Bildquelle – ESET Research):
Schnellmenü:
- Einleitung
- Den Browserverlauf vom Chrome Internetbrowser löschen
- Browserbenachrichtigungen im Chrome Internetbrowser deaktivieren
- Den Chrome Internetbrowser zurücksetzen
- Den Browserverlauf vom Firefox Internetbrowser löschen
- Browserbenachrichtigungen im Firefox Internetbrowser deaktivieren
- Den Firefox Internetbrowser zurücksetzen
- Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren
- Das Android Gerät im "Abgesicherten Modus" starten
- Den Akku-Verbrauch verschiedener Anwendungen überprüfen
- Den Datenverbrauch verschiedener Anwendungen überprüfen
- Die neuesten Software-Updates installieren
- Das System auf Werkseinstellungen zurücksetzen
- Anwendungen mit Administratorenrechten deaktivieren
Den Verlauf vom Chrome Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Arten von Dateien, die Sie löschen möchten und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Chrome deaktivieren:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Einstellungen“.
Scrollen Sie nach unten, bis Sie die Option „Seiten-Einstellungen“ sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen und tippen Sie darauf.
Suchen Sie die Webseiten, die Browserbenachrichtigungen übermitteln, tippen Sie auf sie und klicken Sie auf „Löschen und Zurücksetzen“. Dadurch werden die Berechtigungen entfernt, die diesen Webseiten erteilt wurden, um Benachrichtigungen zu übermitteln. Falls Sie dieselbe Seite jedoch erneut besuchen, wird sie möglicherweise erneut um eine Berechtigung bitten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (falls Sie dies ablehnen, geht die Webseite zum Abschnitt „Blockiert“ über und wird Sie nicht länger um die Berechtigung bitten).
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Chrome zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch das Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Den Verlauf vom Firefox Internetbrowser löschen:
Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie in dem geöffneten Aufklappmenü „Verlauf“.
Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Arten von Dateien aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Browserbenachrichtigungen im Internetbrowser Firefox deaktivieren:
Besuchen Sie die Webseite, die Browser-Benachrichtigungen übermittelt, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein „Schloss“) und wählen Sie „Seiten-Einstellungen bearbeiten“.
Erklären Sie sich in dem geöffneten Dialogfenster mit der Option „Benachrichtigungen“ einverstanden und tippen Sie auf „LÖSCHEN“.
[Zurück zum Inhaltsverzeichnis]
Den Internetbrowser Firefox zurücksetzen:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.
Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie die Aktion, indem Sie auf „LÖSCHEN“ tippen. Beachten Sie, dass durch das Zurücksetzen des Browsers alle in ihm gespeicherten Daten gelöscht werden. Daher werden alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, Nicht-Standardeinstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.
[Zurück zum Inhaltsverzeichnis]
Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren:
Gehen Sie auf „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf „Deinstallieren“. Falls Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z.B. wenn Sie von einer Fehlermeldung veranlasst werden), sollten Sie versuchen, den „Abgesicherten Modus“ zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Das Android-Gerät im „Abgesicherten Modus“ starten:
Der „Abgesicherte Modus“ im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z.B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät „normal“ läuft).
Drücken Sie die „Einschalttaste“ und halten Sie sie gedrückt, bis der Bildschirm „Ausschalten“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie ihn gedrückt. Nach einigen Sekunden wird die Option „Abgesicherter Modus“ angezeigt und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Den Akku-Verbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf „Akku“ und überprüfen Sie die Verwendung der einzelnen Anwendungen. Seriöse/echte Anwendungen werden entwickelt, um so wenig Energie wie möglich zu verbrauchen, um die beste Benutzererfahrung zu bieten und Strom zu sparen. Daher kann ein hoher Akkuverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Den Datenverbrauch verschiedener Anwendungen überprüfen:
Gehen Sie auf "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Datenverbrauch" sehen, und wählen Sie diese Option aus. Wie beim Akku, werden seriöse/echte Anwendungen so entwickelt, dass der Datenverbrauch so weit wie möglich minimiert wird. Dies bedeutet, dass eine große Datennutzung auf die Präsenz von bösartigen Anwendungen hinweisen könnte. Beachten Sie, dass einige bösartige Anwendungen entwickelt werden könnten, um nur dann zu funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.
Falls Sie eine Anwendung finden, die viele Daten verwendet, obwohl Sie sie nie verwenden, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Die neuesten Software-Updates installieren:
Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheits-Patches und Android-Updates, um Fehler und Mängel zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Software-Update" sehen und tippen Sie darauf.
Tippen Sie auf „Updates manuell herunterladen“ und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen auch, die Option „Updates automatisch herunterladen“ zu aktivieren - damit kann das System Sie benachrichtigen, sobald ein Update veröffentlicht wird und/oder es automatisch installieren.
[Zurück zum Inhaltsverzeichnis]
Das System auf Werkseinstellungen zurücksetzen:
Das Ausführen eines „Werkseinstellungen“ ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät allgemein zu reinigen. Beachten Sie, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die im Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. D.h. das Gerät wird auf Werkseinstellunjgen zurückgesetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder schlicht die Netzwerkeinstellungen wiederherstellen.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie „Wiederherstellen" sehen und tippen Sie darauf. Wählen Sie nun die Aktion, die Sie durchführen möchten:
„Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
"Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkszustand zurücksetzen" - setzen Sie das gesamte System zurück und löschen Sie alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Anwendungen mit Administratorrechten deaktivieren:
Falls eine bösartige Anwendung Administratorrechte erhält, kann dies das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps solche Berechtigungen haben und diejenigen deaktivieren, die diese nicht haben sollten.
Gehen Sie auf „Einstellungen", scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie auf sie und dann auf "Administratoren-Apps des Geräts".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollen, tippen Sie auf sie und dann auf „DEAKTIVIEREN“.
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit der XploitSPY-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Die Entfernung von Malware erfordert selten so drastische Maßnahmen.
Was sind die größten Probleme, die XploitSPY Malware verursachen kann?
Die von einer Infektion ausgehenden Gefahren hängen von den Fähigkeiten der Malware und den Zielen der Cyberkriminellen ab. XploitSPY ist ein bösartiges Programm mit zahlreichen Funktionen zum Datendiebstahl (z. B. Herunterladen von Dateien, Extraktion von Kontaktlisten, Diebstahl von Anmeldeinformationen, Audioaufzeichnung usw.). Im Allgemeinen können Infektionen dieser Art zu schwerwiegenden Datenschutzproblemen, finanziellen Einbußen und Identitätsdiebstahl führen.
Was ist der Zweck der XploitSPY Malware?
Malware wird in erster Linie eingesetzt, um Einnahmen zu erzielen. Sie kann aber auch dazu genutzt werden, Prozesse zu stören (z. B. Webseiten, Dienste, Unternehmen, Organisationen usw.) oder sich am Hacktivismus zu beteiligen. Malware-Angriffe können durch Belustigung, persönlichen Groll und politische/geopolitische Gründe motiviert sein.
Wie hat XploitSPY Malware mein Android-Gerät infiltriert?
XploitSPY wird zusammen mit legitimen (oder echt klingenden) Anwendungen verteilt, vor allem mit Messengern. Es wurde beobachtet, dass diese Apps über betrügerische Werbeseiten, GitHub und den Google Play Store verbreitet wurden. Andere Vermehrungsmethoden sind jedoch nicht unwahrscheinlich.
Malware wird am häufigsten über Drive-by-Downloads, dubiose Download-Quellen (z. B. Freeware und kostenlose Filehosting-Webseiten, P2P-Tauschnetzwerke, App-Stores von Drittanbietern usw.), Online-Betrügereien, Spam-E-Mails/Nachrichten, illegale Programmaktivierungswerkzeuge ("Cracks") und gefälschte Updates verbreitet. Einige bösartige Programme können sich sogar selbst über lokale Netzwerke und Wechseldatenträger verbreiten.
Schützt mich Combo Cleaner vor Malware?
Ja, Combo Cleaner kann alle Arten von Bedrohungen erkennen und beseitigen. Es ist in der Lage, die meisten bekannten Malware-Infektionen zu entfernen. Denken Sie daran, dass sich hochentwickelte bösartige Software in der Regel tief im System versteckt - daher ist eine vollständige Systemprüfung von größter Bedeutung.
Ausgezeichnet!
▼ Diskussion einblenden