Come rimuovere il trojan di accesso remoto Vultur dal sistema operativo?
Scitto da Tomas Meskauskas il (aggiornato)
Cos'è Vultur?
Vultur è un programma dannoso classificato come RAT (Trojan di accesso remoto). Il malware all'interno di questa classificazione opera consentendo l'accesso e il controllo remoti sui dispositivi infetti. Vultur prende di mira i sistemi operativi Android. Questo software dannoso cerca di ottenere le credenziali dell'online banking e del portafoglio di criptovaluta delle vittime.
Le banche australiane, italiane e spagnole sono state tra le più prese di mira da questo trojan; campagne più piccole si sono concentrate su istituti bancari olandesi e britannici. Inoltre, l'elenco dei portafogli crittografici presi di mira dal Vultur RAT è ampio.
Il RAT Vultur in dettaglio
Come accennato nell'introduzione, il Vultur RAT consente ai criminali informatici di accedere e controllare in remoto i dispositivi Android infetti. Come la maggior parte dei programmi dannosi rivolti ai dispositivi che eseguono questo sistema operativo, Vultur si affida ai Servizi di accessibilità per stabilire il controllo sui dispositivi. Questi servizi sono progettati per fornire ulteriore aiuto nella lettura e nell'interazione con il dispositivo.
I servizi di accessibilità Android possono leggere ciò che viene visualizzato sullo schermo del dispositivo e simulare il touchscreen. Il programma dannoso Vultur eleva le sue autorizzazioni attraverso i Servizi di accessibilità mostrando continuamente finestre pop-up, che richiedono l'abilitazione dei suddetti servizi.
Una volta concesse le autorizzazioni, il malware nasconde la sua applicazione e inizia ad abusare dei servizi di accessibilità. Quindi, Vultur può sbloccare il dispositivo e imitare gesti/colpi per l'esecuzione del dispositivo.
Le funzionalità principali di questo trojan sono la registrazione dello schermo e la registrazione dei tasti (cioè la registrazione delle sequenze di tasti). A differenza della maggior parte dei malware bancari destinati ad Android, Vultur non mostra finestre di accesso false per raccogliere le credenziali di accesso. Questo RAT utilizza le funzionalità menzionate in precedenza per questo scopo.
Per elaborare, la funzione di registrazione dello schermo di Vultur si basa su VNC (Virtual Network Computing); questo è un termine ampio che si riferisce a routine/software che vanno dalla condivisione dello schermo all'accesso remoto. Il trojan utilizza le sue capacità di registrazione dello schermo in combinazione con il keylogging per acquisire le informazioni necessarie (ad es. ID, indirizzi e-mail, nomi utente, password, ecc.) Per ottenere il controllo sui conti bancari e sui portafogli crittografici delle vittime.
Dopo aver ottenuto i dati necessari, i criminali informatici possono effettuare transazioni fraudolente e/o acquisti non autorizzati. Questo programma dannoso può anche acquisire l'elenco delle app installate, impedire agli utenti di disinstallarlo e mascherarsi come applicazioni legittime (ad esempio, "Protection Guard").
Per riassumere, le infezioni da Vultur possono portare a gravi problemi di privacy, perdite finanziarie significative e furto di identità. Se è noto/sospetto che il Vultur RAT (o altro malware) abbia già infettato il dispositivo, è necessario utilizzare un antivirus per eliminarlo immediatamente.
| Nome | Trojan di accesso remoto Vultur |
| Tipo di minaccia | Malware Android, applicazione dannosa, applicazione indesiderata. |
| Nomi rilevati | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Vultur.B), ESET-NOD32 (una variante di Android/Spy.Vultur.A), Kaspersky (HEUR:Backdoor.AndroidOS.Vultur .a), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo è lento, le impostazioni di sistema vengono modificate senza il permesso dell'utente, vengono visualizzate applicazioni discutibili, l'utilizzo di dati e batteria è aumentato in modo significativo, i browser reindirizzano a siti Web discutibili, vengono forniti annunci pubblicitari intrusivi. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, applicazioni ingannevoli, siti Web truffa. |
| Danni | Informazioni personali rubate (messaggi privati, accessi/password, ecc.), riduzione delle prestazioni del dispositivo, batteria scarica rapidamente, diminuzione della velocità di Internet, enormi perdite di dati, perdite monetarie, identità rubata (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione del Malware (Android) | Per eliminare le infezioni da malware, i nostri ricercatori di sicurezza consigliano di scansionare il tuo dispositivo Android con un software anti-malware legittimo. Consigliamo Avast, Bitdefender, ESET o Malwarebytes. |
I malware in generale
TeaBot, Ghimob, MRAT, e BlackRock sono alcuni esempi di malware progettati per infettare i sistemi operativi Android. Il software dannoso può avere un'ampia varietà di abilità atroci, che possono essere in diverse combinazioni. Inoltre, tali programmi possono essere utilizzati per un'ampia gamma di scopi dannosi.
Le funzionalità malware più diffuse includono: esfiltrazione di contenuti dal sistema, estrazione di dati da browser e altre applicazioni, crittografia dei dati e/o blocco dello schermo a scopo di riscatto (ransomware), download/installazione di malware aggiuntivo, abilitazione di accesso e controllo remoti (RAT) , utilizzo delle risorse di sistema per il mining di criptovalute (minatori di criptovalute), spionaggio (registrazione dello schermo, sequenze di tasti, audio/video tramite microfoni e telecamere) e così via.
Indipendentemente da come funziona il malware, il suo unico scopo è generare profitti per i criminali informatici che lo utilizzano. Inoltre, tutte le infezioni da malware possono portare a vari gravi problemi; pertanto, tutte le minacce e i problemi devono essere rimossi immediatamente dopo il rilevamento.
In che modo Vultur si è infiltrato nel mio dispositivo?
È stato osservato che Vultur viene iniettato nei sistemi da un trojan caricatore/backdoor. È stato notato che il malware progettato per causare infezioni da Vultur veniva diffuso sotto le spoglie di app relative al fitness e all'autenticazione, che sono state distribuite tramite il Google Play Store. Al momento della ricerca, le applicazioni false avevano migliaia di download, il che significa che l'ambito delle operazioni di Vultur potrebbe essere piuttosto ampio.
In generale, il malware è spesso mascherato o in bundle con software/media ordinari. Tuttavia, è più comunemente diffuso tramite canali di download dubbi (ad es. Siti non ufficiali e freeware, reti di condivisione peer-to-peer, ecc.) piuttosto che fonti affidabili, su cui è più probabile che venga rilevato e rimosso.
Gli strumenti di attivazione illegale ("crack) e gli aggiornamenti falsi sono ottimi esempi di contenuti che proliferano il malware. Gli strumenti di "cracking" possono causare infezioni invece di attivare prodotti con licenza. Gli aggiornamenti illegittimi infettano i sistemi abusando di difetti del programma obsoleti e/o installando software dannoso anziché gli aggiornamenti promessi.
Le campagne di spam vengono utilizzate anche per distribuire malware. Questo termine definisce un'operazione su larga scala durante la quale vengono inviate migliaia di e-mail ingannevoli. Alle lettere truffa possono essere allegati file infetti o contenere collegamenti per il download di tali contenuti.
I file virulenti possono essere in vari formati, ad esempio archivi (RAR, ZIP), eseguibili (.exe, .run, ecc.), PDF e documenti di Microsoft Office, JavaScript e così via. Quando i file vengono eseguiti, eseguiti o aperti in altro modo, viene attivata la catena di infezione.
Come evitare l'installazione di malware?
Si consiglia di utilizzare solo canali di download ufficiali e verificati. Il software deve essere attivato e aggiornato utilizzando le funzioni fornite da sviluppatori originali. Le e-mail sospette/irrilevanti non devono essere aperte, in particolare eventuali allegati o collegamenti in esse contenuti.
Per garantire l'integrità del dispositivo e la privacy dell'utente, è fondamentale disporre di una suite antivirus/antispyware affidabile installata e mantenuta aggiornata. Inoltre, questi programmi devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le potenziali minacce rilevate.
Menu:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Web Chrome?
- Come disabilitare le notifiche del browser nel browser Web Chrome?
- Come ripristinare il browser Web Chrome?
- Come eliminare la cronologia di navigazione dal browser Web Firefox?
- Come disabilitare le notifiche del browser nel browser Web Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "Modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati di varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare il sistema allo stato predefinito?
- Come disabilitare le applicazioni con privilegi di amministratore?
Elimina la cronologia di navigazione dal browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATO", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".
Disabilita le notifiche del browser nel browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.
Trova i siti Web che forniscono notifiche del browser, toccali e fai clic su "Cancella e ripristina". Ciò rimuoverà le autorizzazioni concesse a questi siti Web per fornire notifiche, tuttavia, se visiti di nuovo lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione.
Puoi scegliere se concedere o meno questi permessi (se scegli di rifiutare, il sito andrà nella sezione "Bloccato" e non chiederà più il permesso).
Ripristina il browser web Chrome:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Archiviazione".
Tocca "GESTISCI MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Elimina la cronologia di navigazione dal browser web Firefox:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".
Disabilita le notifiche del browser nel browser web Firefox:
Visita il sito Web che fornisce le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "Blocco") e seleziona "Modifica impostazioni sito".
Nel pop-up aperto, attiva l'opzione "Notifiche" e tocca "CANCELLA".
Ripristina il browser web Firefox:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Archiviazione".
Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Disinstalla applicazioni potenzialmente indesiderate e/o dannose:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso finché non vedi un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, ti viene richiesto con un messaggio di errore), dovresti provare a utilizzare la "Modalità provvisoria".
Avvia il dispositivo Android in "Modalità provvisoria":
La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che ti impediscono di farlo quando il dispositivo è in esecuzione "normalmente").
Premi il pulsante "Power" e tienilo premuto finché non vedi la schermata "Spegni". Tocca l'icona "Spegni" e tienila premuta. Dopo pochi secondi apparirà l'opzione "Modalità provvisoria" e potrai eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.
Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor quantità di energia possibile per fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria potrebbe indicare che l'applicazione è dannosa.
Controlla l'utilizzo dei dati di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.
Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre il più possibile l'utilizzo dei dati. Pertanto, un utilizzo significativo dei dati potrebbe indicare la presenza di un'applicazione dannosa.
Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovresti controllare l'utilizzo dei dati sia mobile che Wi-Fi.
Se trovi un'applicazione che utilizza dati significativi anche se non la usi mai, ti consigliamo vivamente di disinstallarla immediatamente.
Installa gli ultimi aggiornamenti software:
Mantenere aggiornato il software è una buona pratica per la sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug, che possono essere abusati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, quindi dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.
Tocca "Scarica aggiornamenti manualmente" e controlla se sono disponibili aggiornamenti. In tal caso, installarli immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": questo consentirà al sistema di avvisarti quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.
Ripristina il sistema al suo stato predefinito:
L'esecuzione di un "Ripristino delle impostazioni di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tieni inoltre presente che verranno eliminati tutti i dati all'interno del dispositivo, inclusi foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. Cioè, il dispositivo verrà ripristinato al suo stato iniziale/di fabbrica.
Puoi anche ripristinare le impostazioni di sistema di base o semplicemente le impostazioni di rete.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.
Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che vuoi eseguire:
"Ripristina impostazioni": ripristina tutte le impostazioni di sistema predefinite;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilita le applicazioni con privilegi di amministratore:
Se un'applicazione dannosa riceve privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovresti sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.
Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e quindi tocca "App di amministrazione del dispositivo".
Identifica le applicazioni che non dovrebbero avere i privilegi di amministratore, toccale e quindi tocca "DISATTIVA".
Domande Frequenti (FAQ)
Quali sono i maggiori problemi che il malware può causare?
Nella maggior parte dei casi, le vittime di attacchi di malware perdono denaro e (o) file, diventano vittime di furto di identità, perdono account online personali (ad es. social media, e-mail, giochi e altri account), ecc.
Qual è lo scopo di Vultur RAT?
Vultur è un Trojan di amministrazione remota che ruba le informazioni utilizzate per accedere (accedere) ai conti bancari online e ai portafogli di criptovaluta. Può registrare lo schermo e registrare le sequenze di tasti.
In che modo il malware Vultur si è infiltrato nel mio dispositivo?
È noto che Vultur è stato distribuito tramite app false (trojanizzate) per il fitness e l'autenticazione su Google Play Store. In altri casi, gli attori delle minacce utilizzano negozi di terze parti, pagine non ufficiali, SMS, e-mail e canali simili per distribuire malware mobile.
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner include uno scanner antivirus in grado di rilevare quasi tutti i malware conosciuti. È importante ricordare che il malware di fascia alta di solito si nasconde in profondità nel sistema. Pertanto, i computer infettati da malware di questo tipo devono essere sottoposti a scansione completa (utilizzando un'opzione di scansione completa).
Eccezionale!
▼ Mostra Discussione