So entfernen Sie GhostGrab von Android-Geräten

Was ist GhostGrab?

GhostGrab ist eine Android-Malware mit doppeltem Zweck, die Finanzdaten stiehlt und gleichzeitig infizierte Geräte heimlich zum Schürfen von Kryptowährungen nutzt. Sie sammelt Bank-Logins, Kartendaten und Einmalcodes (über abgefangene SMS), nimmt Fingerabdrücke von Geräten und führt einen versteckten Miner aus. Wenn GhostGrab auf einem Gerät entdeckt wird, sollte es so schnell wie möglich entfernt werden.

GhostGrab im Detail

Der Angriff beginnt auf einer bösartigen Website. Ein Skript auf dieser Website leitet den Browser automatisch weiter und veranlasst ihn, eine bösartige APK herunterzuladen. Die heruntergeladene APK ist der Dropper, die erste Stufe, mit der andere Malware auf das Gerät des Opfers eingeschleust wird. Der Dropper täuscht den Benutzer mit einem gefälschten „Update”-Bildschirm, um die Berechtigung zum direkten Installieren von Apps (anstatt über Google Play) zu erhalten.

Es lädt eine entfernte Webseite in einen WebView und simuliert ein iOS-Gerät, das für Phishing oder die Anzeige bösartiger Werbung genutzt werden kann. Die Malware registriert sich außerdem bei Firebase, um Fernbefehle zu empfangen. Schließlich startet sie einen Monero-Miner, mit dem Cyberkriminelle das Gerät als Kryptowährungs-Miner nutzen können.

Banking-Stealer-Modul

Darüber hinaus injiziert der Dropper von GhostGrab eine Banking-Stealer-Nutzlast. Dieses Modul kann Benachrichtigungen (einschließlich Einmalcodes) lesen und erfassen, den Silent-Modus deaktivieren oder ändern, Telefonanrufe tätigen, versteckte Dienste ausführen sowie Dateien und Medien auf dem Gerät lesen, kopieren und ändern.

Darüber hinaus kann das Bankmodul gefälschte oder irreführende Benachrichtigungen anzeigen, auf Fotos, Videos und Audiodateien zugreifen, Geräte-IDs und Telefondetails lesen sowie gespeicherte Texte lesen. Es kann auch eingehende SMS-Nachrichten (wie OTPs) abfangen und Texte versenden. Die Malware versteckt sich, sodass sie nicht im Launcher des Telefons angezeigt wird und unbemerkt im Hintergrund ausgeführt werden kann.

GhostGrab kann gefälschte Bankseiten anzeigen und persönliche Daten wie Name, Telefonnummer und Kontonummer abfragen. Wenn der Benutzer die Debitkartenoption auswählt, werden die vollständige Kartennummer, das Ablaufdatum, die CVV-Nummer und die ATM-PIN abgefragt. Wenn der Benutzer sich für das Internet-Banking entscheidet, fragt die Malware nach seiner Benutzer-ID, seinem Anmeldepasswort und seinem Transaktionspasswort.

Jedes Formular präsentiert korrekt formatierte Eingaben, sodass der Angreifer genaue Informationen erhält, mit denen er Konten übernehmen oder Geld stehlen kann. Die Malware packt all diese Informationen in eine Datendatei und lädt sie in eine Online-Datenbank (Firebase) hoch, sodass der Angreifer aus der Ferne auf diese Daten zugreifen kann.

SIM-Daten-Dieb

Darüber hinaus kann die Malware Informationen über die SIM-Karten und das Mobilfunknetz des Geräts stehlen. Dazu gehören Telefonnummern, der Name des Netzbetreibers, die eindeutige Seriennummer der SIM-Karte, der Steckplatz, in dem sich die jeweilige SIM-Karte befindet, mit dem Mobilfunknetz verknüpfte Gerätekennungen und andere netzwerkbezogene Details.

GhostGrab kann auch alle eingehenden Textnachrichten abfangen. Es kopiert den Inhalt der Nachricht, die Informationen zum Absender und die Gerätekennungen und sendet diese Informationen dann an den Angreifer. Es kann Nachrichten auch direkt an das Gerät des Angreifers weiterleiten oder an eine bestimmte Nummer senden.

Es ist wichtig zu beachten, dass GhostGrab in Nachrichten nach bankbezogenen Begriffen wie „Transaktion” und „Abhebung” suchen kann, wodurch Angreifer bankbezogene Nachrichten überwachen und Transaktionen verfolgen können.

Darüber hinaus kann die Malware die Anrufweiterleitung auf einem infizierten Gerät aktivieren oder deaktivieren. Sie wählt spezielle Codes, um eingehende Anrufe an eine andere Nummer (die des Angreifers) weiterzuleiten, verbirgt dies und kann wichtige Anrufe abfangen, beispielsweise solche, die Einmalpasswörter betreffen.

Schlussfolgerung

GhostGrab ist eine bösartige Android-Malware, die sich auf dem Gerät versteckt, sensible Informationen stiehlt und unbemerkt im Hintergrund ausgeführt wird. Sie erfasst persönliche Daten, Bankdaten, SMS-Nachrichten und SIM-/Netzwerkdaten und kann sogar Anrufe weiterleiten oder OTPs abfangen. Außerdem nutzt sie das Gerät, um heimlich Kryptowährung für Angreifer zu schürfen.

Weitere Beispiele für Android-Stealer sind Klopatra, Datzbro und PhantomCard.

Wie hat sich GhostGrab auf mein Gerät eingeschleust?

GhostGrab wird über eine bösartige Website verbreitet, die einen Browser zum Herunterladen einer Dropper-APK zwingt und den Benutzer dann dazu verleitet, diese zu installieren. Die Opfer werden von einer bösartigen Seite per JavaScript weitergeleitet, wodurch automatisch eine APK heruntergeladen wird. Der Dropper zeigt dann einen gefälschten „Update”-Bildschirm des Play Store an, um Benutzer dazu zu verleiten, versteckte Payloads außerhalb von Google Play zu installieren.

Wie kann man die Installation von Malware vermeiden?

Installieren Sie Apps immer aus dem offiziellen Google Play Store oder von offiziellen Websites und lesen Sie die Bewertungen. Klicken Sie nicht auf Links in verdächtigen Textnachrichten, E-Mails oder Social-Media-Beiträgen. Aktualisieren Sie regelmäßig das Betriebssystem und die Anwendungen. Verwenden Sie Google Play Protect und eine seriöse Sicherheits-App für Mobilgeräte.

Vermeiden Sie außerdem die Interaktion mit Anzeigen, Pop-ups und Links, die Sie auf verdächtigen Websites finden.

Malware fordert verschiedene Berechtigungen an (Quelle: cyfirma.com):

GhostGrab zeigt gefälschte Formulare an, um Debitkarteninformationen zu erfassen (Quelle: cyfirma.com):

Die Malware zeigt gefälschte Formulare an, um Internet-Banking-Daten zu erbeuten (Quelle: cyfirma.com):

Schnellmenü:

• Einleitung
• Wie kann man den Browserverlauf aus dem Chrome-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie kann man den Browserverlauf aus dem Firefox-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie kann man potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Batterieverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie kann man das System auf den Standardzustand zurücksetzen?
• Wie kann man Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Verlauf“ aus dem sich öffnenden Dropdown-Menü.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Einstellungen“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen“ sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen, und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen für diese Websites zum Senden von Benachrichtigungen entfernt. Wenn Sie jedoch dieselbe Website erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie sich dagegen entscheiden, wird die Website in den Abschnitt „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der URL-Leiste (das Symbol muss nicht unbedingt „Sperren” lauten) und wählen Sie „Website-Einstellungen bearbeiten”.

Wählen Sie im geöffneten Pop-up-Fenster die Option „Benachrichtigungen“ und tippen Sie auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. wenn eine Fehlermeldung angezeigt wird), sollten Sie den „abgesicherten Modus“ verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus” im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen bösartiger Anwendungen, die Sie daran hindern, dies zu tun, wenn das Gerät „normal” läuft).

Drücken Sie die Taste „Power“ und halten Sie sie gedrückt, bis der Bildschirm „Power off“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Batterieverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um die bestmögliche Benutzererfahrung zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Verbindungen“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind legitime/echte Anwendungen so konzipiert, dass sie die Datennutzung so weit wie möglich minimieren. Das bedeutet, dass eine hohe Datennutzung auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit von Geräten geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen” und überprüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen” zu aktivieren. Damit wird das System Sie benachrichtigen, sobald ein Update verfügbar ist, und/oder dieses automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Zurücksetzen auf Werkseinstellungen” ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach nur die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie ausführen möchten:
„ Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Weitere Sicherheitseinstellungen“ sehen, tippen Sie darauf und anschließend auf „Geräteadministrator-Apps“.

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Malware GhostGrab infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

GhostGrab kann durch Zurücksetzen des Geräts auf die Werkseinstellungen entfernt werden, dabei werden jedoch auch alle gespeicherten Daten gelöscht. Bevor Sie diesen Schritt durchführen, sollten Sie das Gerät mit einer vertrauenswürdigen Antiviren-App wie Combo Cleaner scannen.

Was sind die größten Probleme, die Malware verursachen kann?

Malware kann dazu verwendet werden, persönliche Daten zu stehlen, Systeme zu beschädigen, Dateien zu verschlüsseln, Angreifern Fernzugriff zu gewähren, zusätzliche schädliche Tools zu installieren und letztendlich finanzielle Verluste, Identitätsdiebstahl, Datenverlust und andere Probleme zu verursachen.

Was ist der Zweck von GhostGrab?

GhostGrab wurde entwickelt, um heimlich Bank- und persönliche Daten von Android-Geräten zu stehlen, Nachrichten und Anrufe abzufangen und einen Kryptowährungs-Miner zu starten.

Wie hat sich GhostGrab auf mein Gerät eingeschleust?

Es ist wahrscheinlich, dass die Malware von einer bösartigen Website stammt, die Ihren Browser dazu gezwungen hat, eine Dropper-APK herunterzuladen, und Sie dann dazu verleitet hat, diese zu installieren. Der Dropper hat später einen gefälschten „Update”-Bildschirm des Play Store angezeigt, um Sie dazu zu zwingen, versteckte Payloads außerhalb von Google Play zu installieren.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner kann die meisten bekannten Malware-Programme identifizieren und entfernen, aber komplexere Bedrohungen können sich tief im System verstecken, sodass ein vollständiger Gerätescan erforderlich ist.