So entfernen Sie Delivery RAT von infizierten Geräten

Was für eine Art von Malware ist Delivery RAT?

Delivery RAT ist ein Fernverwaltungstrojaner, der auf Android-Geräte abzielt. Die neueste Version kann verschiedene Informationen stehlen, Befehle ausführen, SMS versenden, DDoS-Angriffe starten und vieles mehr. Delivery RAT wird über gefälschte Apps verbreitet, die Banken, Video- und Film-Sharing-Dienste, Marktplätze und andere Dienste imitieren.

Lieferung RAT im Detail

Beim Start überprüft Delivery RAT die Benachrichtigungsberechtigungen und die Internetverbindung. Wenn eine Internetverbindung verfügbar ist (oder wenn das Programm bereits gestartet wurde), zeigt Delivery RAT einen Bildschirm an, in dem der Benutzer aufgefordert wird, Berechtigungen zu erteilen. Anschließend startet es einen WebSocket-Hintergrunddienst, der eine Verbindung zu seinem Kontrollserver herstellt und auf Benutzeraktionen wartet.

Nachdem der Benutzer die Berechtigungen erteilt und bestätigt hat, zeigt die gefälschte App den Hauptbildschirm zur Eingabe einer Sendungsnummer (oder anderer Informationen, je nach dem Dienst, den sie imitiert) an. Anschließend fordert sie Berechtigungen zum Lesen und Senden von SMS, zum Lesen von Telefonanrufen und zum Abrufen des Status des Telefons an. Nachdem diese Berechtigungen erteilt wurden, sammelt Delivery RAT SIM-Informationen und sendet sie an den Server.

Sobald diese Schritte abgeschlossen sind, kann die Malware gefälschte Fenster anzeigen. Diese Fenster ahmen Banking-Apps, Video- und Film-Sharing-Dienste, Lieferdienste, Marktplätze und andere Dienste nach. Die RAT kann ein Formular anzeigen, in das der Benutzer seine Kreditkartendaten eingeben kann. Wenn der Benutzer diese Daten eingibt und auf die Schaltfläche „Bestätigen“ tippt, zeigt die Malware eine Download-Animation an und sendet die eingegebenen Kartendaten an den Server des Angreifers.

Delivery RAT kann auch benutzerdefinierte Formulare mit mehreren Feldern anzeigen. Darüber hinaus kann es eine Meldung anzeigen, in der der Benutzer aufgefordert wird, ein Foto auszuwählen. Wenn der Benutzer auf die bereitgestellte Schaltfläche klickt, überprüft die App die Speicher- oder Medienberechtigungen und fordert diese bei Bedarf an. Nachdem der Benutzer ein Foto ausgewählt hat, wird es auf den Server des Angreifers hochgeladen.

Darüber hinaus zeigt die bösartige App ein QR-Bild zusammen mit zwei Feldern (eines davon standardmäßig mit der Bezeichnung „Track-Nummer eingeben“) an und wartet darauf, dass der Benutzer es anzeigt/scannt. Wenn der Benutzer darauf reagiert und dann auf „Bestätigen“ tippt, spielt die App sofort eine Download-Animation ab. Im Hintergrund zeichnet die Malware diese Interaktion auf und folgt dann dem nächsten Befehl des Angreifers vom Kontrollserver.

Außerdem kann die RAT ein einzelnes Textfeld anzeigen, das der Benutzer ausfüllen kann. Wenn der Benutzer auf „Bestätigen“ tippt, zeigt die App die Download-Animation an, zeichnet den eingegebenen Text auf und führt die nächste Anweisung des Servers aus. Sie enthält auch eine gefälschte Support-Chat-Funktion, über die alle eingegebenen Informationen an Cyberkriminelle gesendet werden.

Während der Malware aktiv ist, können Angreifer Informationen über ihren Status abrufen. Sie können überprüfen, wann die schädliche App gestartet, minimiert oder geschlossen wird.

Weitere Funktionen

Die RAT enthält ein Tool, das eingehende Push-Benachrichtigungen liest. Es sendet die Benachrichtigungsdaten an den Server des Angreifers. Wenn möglich, löscht oder verbirgt die Malware anschließend die Benachrichtigung, sodass der Benutzer sie nie zu sehen bekommt. Auf diese Weise können Angreifer sensible Informationen erfassen. Ein weiteres Tool der RAT kann auf SMS-Nachrichten zugreifen und deren Inhalte sammeln.

Außerdem stellt Delivery RAT sicher, dass es nach jedem Neustart des Geräts ausgeführt wird. Sobald das Gerät hochfährt, startet es einen bestimmten Dienst, der sich erneut mit dem Server des Angreifers verbindet und die aktive Kommunikation aufrechterhält.

Darüber hinaus kann die Malware SMS an alle Kontakte senden, USSD-Befehle ausführen, ihr App-Symbol ändern und das Launcher-Symbol ausblenden oder anzeigen. Sie kann auch einen Bildschirm öffnen, auf dem der Zugriff auf Kontakte angefordert wird, und die vollständige Kontaktliste erfassen/senden, SMS an bestimmte Nummern senden und HTTP-Anfragen ausführen, um DDoS-Angriffe zu starten.

Schlussfolgerung

DeliveryRAT ist ein hartnäckiger Android-Trojaner, der verschiedene Berechtigungen anfordert und eine Live-Verbindung aufrechterhält. Er kann heimlich sensible Daten (Nachrichten, Benachrichtigungen, Kontakte, Dateien und Anmeldedaten) sammeln und exfiltrieren, über gefälschte Bildschirme oder Chats mit Benutzern interagieren, Nachrichten vom Gerät versenden und vieles mehr.

Opfer dieser Malware können mit verschiedenen Problemen konfrontiert werden, von finanziellen Verlusten bis hin zu Identitätsdiebstahl. Daher sollte sie so schnell wie möglich von den betroffenen Geräten entfernt werden. Weitere Beispiele für Android-Malware sind GhostGrab, Herodotus und ClayRat.

Wie hat sich Delivery RAT auf mein Gerät eingeschleust?

Malware kann über betrügerische Nachrichten oder E-Mails mit bösartigen Links oder Dateien sowie über bösartige Werbung (einschließlich gefälschter Warnungen und anderer Pop-ups) auf dubiosen Websites verbreitet werden. Cyberkriminelle nutzen auch gefälschte Websites oder App-Stores von Drittanbietern, um Benutzer dazu zu verleiten, bösartige Apps auf ihren Geräten zu installieren.

In anderen Fällen können Angreifer Software-Schwachstellen nutzen, um Malware zu verbreiten.

Wie kann man die Installation von Malware vermeiden?

Laden Sie Apps ausschließlich von offiziellen Plattformen (wie Google Play) und Websites herunter. Klicken Sie nicht auf Links und öffnen Sie keine Dateien in irrelevanten, unerwarteten Texten, E-Mails oder anderen Nachrichten von unbekannten Absendern. Aktualisieren Sie Ihr System und Ihre Apps regelmäßig, verwenden Sie Google Play Protect und eine vertrauenswürdige Sicherheits-App für Mobilgeräte.

Vertrauen Sie außerdem keinen Werbeanzeigen oder anderen Inhalten, die Sie auf verdächtigen Websites finden.

Schnellmenü:

• Einleitung
• Wie kann man den Browserverlauf aus dem Chrome-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie kann man den Browserverlauf aus dem Firefox-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie kann man potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Batterieverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie kann man das System auf den Standardzustand zurücksetzen?
• Wie kann man Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitbereich und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie „Einstellungen“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen“ sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen, und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen für diese Websites zum Senden von Benachrichtigungen entfernt. Wenn Sie jedoch dieselbe Website erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie sich dagegen entscheiden, wird die Website in den Bereich „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Verlauf“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der URL-Leiste (das Symbol muss nicht unbedingt „Sperren” lauten) und wählen Sie „Website-Einstellungen bearbeiten”.

Wählen Sie im geöffneten Pop-up-Fenster die Option „Benachrichtigungen“ und tippen Sie auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. wenn eine Fehlermeldung angezeigt wird), sollten Sie den „abgesicherten Modus“ verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus” im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu beheben (z. B. das Entfernen bösartiger Anwendungen, die Sie daran hindern, dies zu tun, wenn das Gerät „normal” läuft).

Drücken Sie die Taste „Power“ und halten Sie sie gedrückt, bis der Bildschirm „Power off“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch einen Neustart des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Batterieverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie den Verbrauch der einzelnen Anwendungen. Seriöse/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um die bestmögliche Benutzererfahrung zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Verbindungen“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind legitime/echte Anwendungen so konzipiert, dass sie die Datennutzung so weit wie möglich minimieren. Das bedeutet, dass eine hohe Datennutzung auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit von Geräten geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen” und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen” zu aktivieren. Damit wird das System Sie benachrichtigen, sobald ein Update verfügbar ist, und/oder dieses automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Zurücksetzen auf Werkseinstellungen” ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach nur die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie ausführen möchten:
„ Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Bildschirmsperre und Sicherheit“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Weitere Sicherheitseinstellungen“ sehen, tippen Sie darauf und anschließend auf „Geräteadministrator-Apps“.

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Delivery RAT-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Sie können DeliveryRAT durch Formatieren des Geräts entfernen, dabei werden jedoch alle Ihre Daten gelöscht. Als sicherere Alternative können Sie eine vertrauenswürdige Sicherheits-App wie Combo Cleaner verwenden, um das Gerät zu scannen und zu bereinigen, ohne Daten zu verlieren.

Was sind die größten Probleme, die Malware verursachen kann?

Die Malware kann Angreifern Fernzugriff ermöglichen, Systeme kompromittieren und zusätzliche schädliche Tools installieren. Außerdem kann sie persönliche Daten stehlen oder Dateien verschlüsseln, was zu Datenverlust, Finanzdiebstahl, Identitätsdiebstahl und anderen schwerwiegenden Problemen führen kann.

Was ist der Zweck von Delivery RAT?

Der Zweck von DeliveryRAT besteht darin, die vollständige Kontrolle über ein infiziertes Android-Gerät zu erlangen, um sensible Informationen (wie SMS, Kontakte, Bankkartendaten, Fotos und Gerätekennungen) zu stehlen, Kommunikationen abzufangen, Benutzer mit gefälschten Bildschirmen oder Formularen zu täuschen und Fernaktionen wie das Senden von Nachrichten oder die Durchführung von Netzwerkangriffen durchzuführen.

Wie hat sich Delivery RAT auf mein Gerät eingeschleust?

Malware kann sich über bösartige Links oder Anhänge in Nachrichten oder E-Mails, gefälschte Anzeigen oder Pop-ups auf verdächtigen Websites sowie betrügerische Websites oder App-Stores von Drittanbietern verbreiten, die Benutzer dazu verleiten, infizierte Apps zu installieren. Sie kann auch durch Ausnutzung von Software-Schwachstellen übertragen werden.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner kann die meisten Malware-Programme erkennen und entfernen, aber komplexe Bedrohungen können sich tief im System verstecken. Um sicherzustellen, dass alle Komponenten entfernt werden, sollten Benutzer einen vollständigen Gerätescan durchführen.