Come rimuovere HelloTeacher dal tuo dispositivo
Scitto da Tomas Meskauskas il (aggiornato)
Che tipo di malware è HelloTeacher?
HelloTeacher è il nome designato per una variante di spyware Android scoperta di recente che prende di mira utenti ignari in Vietnam. Questo malware possiede funzionalità avanzate, inclusa la capacità di estrarre dettagli di contatto, dati SMS, foto, l'elenco delle app installate e acquisire immagini e registrare lo schermo dei dispositivi infetti.
HelloTeacher in dettaglio
Dopo essere stato installato, il malware HelloTeacher richiede alla vittima di abilitare il servizio di accessibilità. Una volta concesso, il malware sfrutta il servizio di accessibilità per concedere automaticamente le autorizzazioni e svolgere attività di trojan bancario.
Contemporaneamente, in background, il malware stabilisce una comunicazione con un server di comando e controllo (C&C) per trasmettere le informazioni rubate.
Sfruttando i servizi di accessibilità, il malware monitora gli eventi legati a una specifica applicazione bancaria. Esegue attivamente la scansione dell'attività dell'utente all'interno dell'app mobile TPbank e verifica l'ID del componente associato ai dettagli del saldo del conto dell'app originale. Una volta identificato il saldo del conto, il malware estrae e salva queste informazioni in un file denominato applog.txt.
Alla fine, il file viene trasmesso al server Command and Control.
L'autore della minaccia ha anche incorporato il codice per acquisire illecitamente la sequenza di blocco o la password sfruttando il servizio di accessibilità. La sequenza di blocco rubata o la password vengono quindi memorizzate nello stesso file ("applog.txt)".
Inoltre, il malware HelloTeacher traccia attivamente le attività della vittima relative all'applicazione mobile MB Bank. Analizzando le informazioni sul nodo della vera app bancaria, il malware inserisce il testo ricevuto dal server C&C nel campo di testo corrispondente.
Inoltre, il malware ispeziona gli elementi collegati ai campi password e nome utente all'interno dell'applicazione mobile MB Bank. Cerca specificamente parole chiave associate a "password" e "nome utente" sia in inglese che in vietnamita.
Dotato della capacità di ricevere comandi dal server C&C, il malware esegue operazioni malevole sul dispositivo compromesso. Tali operazioni comprendono gesti automatizzati, manipolazione del display attraverso l'apertura e la chiusura di una schermata nera e il contrasto dei tentativi di disinstallazione, tra le altre azioni dannose.
Il malware HelloTeacher utilizza MediaProjection per registrare lo schermo del dispositivo mirato. Inoltre, cattura le immagini attraverso la fotocamera del dispositivo infetto e le trasmette al server C&C.
Oltre alla registrazione dello schermo e all'acquisizione di foto, il malware HelloTeacher raccoglie anche una serie di dati sensibili dal dispositivo compromesso. Ciò comprende il furto di messaggi di testo, dettagli di contatto, foto e un elenco completo delle applicazioni installate.
| Nome | HelloTeacher spyware |
| Tipologia di minaccia | Spyware, malware Android, applicazione dannosa |
| Nomi rilevati | Avast-Mobile (Android:Evo-gen [Trj]), Cynet (Dannoso (punteggio: 99)), ESET-NOD32 (Una variante di Android/Spy.Banker.BWA), Kaspersky (HEUR:Trojan-Banker.AndroidOS. Agent.lr), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, vengono visualizzate applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser reindirizzano a siti Web discutibili, vengono fornite pubblicità intrusive. |
| Metodi distributivi | Applicazioni dannose che si presentano come app legittime come Viber e Kik Messenger |
| Danni | Informazioni personali rubate (messaggi privati, accessi/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, diminuzione della velocità di Internet, enormi perdite di dati, perdite monetarie, furto di identità e altro ancora. |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Possibili danni
Il malware HelloTeacher può causare danni sostanziali alle sue vittime. Compromette la privacy accedendo a informazioni personali e sensibili come messaggi di testo, contatti, foto ed elenchi di app. Questa violazione può portare al furto di identità e all'accesso non autorizzato all'account. Inoltre, il malware prende di mira le app bancarie, esponendo le vittime al rischio di perdite finanziarie e transazioni fraudolente.
Inoltre, il furto e la potenziale distribuzione di contenuti personali o compromettenti possono danneggiare la reputazione delle vittime.
In che modo HelloTeacher si è infiltrato nel mio dispositivo?
Il malware HelloTeacher adotta le sembianze di note applicazioni di messaggistica come Viber o Kik Messenger, inducendo i suoi obiettivi a installare inconsapevolmente l'app dannosa. Il malware HelloTeacher (app false) può essere distribuito attraverso vari canali, inclusi app store di terze parti, siti Web dannosi, e-mail/messaggi di phishing e tecniche di ingegneria sociale.
È importante ricordare che i criminali informatici sono anche in grado di distribuire app dannose tramite app store legittimi come Google Play Store.
Come evitare l'installazione di malware?
Utilizza app store ufficiali come Google Play Store ed evita di scaricare app da fonti sconosciute o di terze parti. Controlla le autorizzazioni richieste dalle app prima di installarle. Fai attenzione se un'app richiede autorizzazioni non necessarie o eccessive. Aggiorna regolarmente il tuo sistema operativo Android per assicurarti di disporre delle ultime patch di sicurezza e correzioni di bug.
Attiva Google Play Protect, una funzione di sicurezza integrata che analizza le app alla ricerca di malware prima e dopo l'installazione. Evita di fare clic su collegamenti sospetti o di aprire allegati e-mail da fonti sconosciute. Prima di scaricare un'app, controlla le recensioni e le valutazioni degli utenti per identificare potenziali campanelli d'allarme o feedback negativi.
Falsa applicazione Viber utilizzata per distribuire le richieste HelloTeacher per abilitare il servizio di accessibilità (fonte: cyble.com):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser web Chrome?
- Come disabilitare le notifiche del browser nel browser web Chrome?
- Come reimpostare il browser Web Chrome?
- Come eliminare la cronologia di navigazione dal browser Web Firefox?
- Come disabilitare le notifiche del browser nel browser Web Firefox?
- Come reimpostare il browser Web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "Modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati di varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare il sistema allo stato predefinito?
- Come disabilitare le applicazioni con privilegi di amministratore?
Elimina la cronologia di navigazione dal browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATO", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".
Disabilita le notifiche del browser nel browser web Chrome:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.
Trova i siti Web che forniscono notifiche del browser, toccali e fai clic su "Cancella e ripristina". Ciò rimuoverà le autorizzazioni concesse a questi siti Web per fornire notifiche, tuttavia, se visiti di nuovo lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione.
Puoi scegliere se concedere o meno questi permessi (se scegli di rifiutare, il sito andrà nella sezione "Bloccato" e non chiederà più il permesso).
Ripristina il browser web Chrome:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Archiviazione".
Tocca "GESTISCI MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Elimina la cronologia di navigazione dal browser web Firefox:
Tocca il pulsante "Menu" (tre punti nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".
Disabilita le notifiche del browser nel browser web Firefox:
Visita il sito Web che fornisce le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "Blocco") e seleziona "Modifica impostazioni sito".
Nel pop-up aperto, attiva l'opzione "Notifiche" e tocca "CANCELLA".
Ripristina il browser web Firefox:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Archiviazione".
Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati all'interno. Pertanto, tutti gli accessi/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Disinstalla applicazioni potenzialmente indesiderate e/o dannose:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso finché non vedi un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, ti viene richiesto con un messaggio di errore), dovresti provare a utilizzare la "Modalità provvisoria".
Avvia il dispositivo Android in "Modalità provvisoria":
La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che ti impediscono di farlo quando il dispositivo è in esecuzione "normalmente").
Premi il pulsante "Power" e tienilo premuto finché non vedi la schermata "Spegni". Tocca l'icona "Spegni" e tienila premuta. Dopo pochi secondi apparirà l'opzione "Modalità provvisoria" e potrai eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.
Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor quantità di energia possibile per fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria potrebbe indicare che l'applicazione è dannosa.
Controlla l'utilizzo dei dati di varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.
Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre il più possibile l'utilizzo dei dati. Pertanto, un utilizzo significativo dei dati potrebbe indicare la presenza di un'applicazione dannosa.
Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovresti controllare l'utilizzo dei dati sia mobile che Wi-Fi.
Se trovi un'applicazione che utilizza dati significativi anche se non la usi mai, ti consigliamo vivamente di disinstallarla immediatamente.
Installa gli ultimi aggiornamenti software:
Mantenere aggiornato il software è una buona pratica per la sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug, che possono essere abusati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, quindi dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.
Tocca "Scarica aggiornamenti manualmente" e controlla se sono disponibili aggiornamenti. In tal caso, installarli immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": questo consentirà al sistema di avvisarti quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.
Ripristina il sistema al suo stato predefinito:
L'esecuzione di un "Ripristino delle impostazioni di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tieni inoltre presente che verranno eliminati tutti i dati all'interno del dispositivo, inclusi foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. Cioè, il dispositivo verrà ripristinato al suo stato iniziale/di fabbrica.
Puoi anche ripristinare le impostazioni di sistema di base o semplicemente le impostazioni di rete.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.
Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che vuoi eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema predefinite;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristina dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilita le applicazioni con privilegi di amministratore:
Se un'applicazione dannosa riceve privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovresti sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.
Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e quindi tocca "App di amministrazione del dispositivo".
Identifica le applicazioni che non dovrebbero avere i privilegi di amministratore, toccale e quindi tocca "DISATTIVA".
Domande Frequenti (FAQ)
Il mio dispositivo è stato infettato dal malware HelloTeacher, devo formattare il mio dispositivo di archiviazione per eliminarlo?
Dovrebbe essere sufficiente eseguire una scansione del sistema utilizzando un software antivirus affidabile per rimuovere l'app dannosa HelloTeacher dal tuo dispositivo Android.
Quali sono i maggiori problemi che il malware può causare?
Il malware può portare all'accesso non autorizzato a informazioni sensibili, come dati personali, dettagli finanziari o credenziali di accesso, con conseguente furto di identità o perdita finanziaria. Inoltre, il malware può interrompere il normale funzionamento dei dispositivi, causando arresti anomali del sistema, rallentamento delle prestazioni e rendendoli inutilizzabili o instabili.
Qual è lo scopo del malware HelloTeacher?
L'obiettivo principale di HelloTeacher è monitorare segretamente le attività degli utenti ignari sui loro dispositivi Android. Questo software dannoso è dotato di funzionalità avanzate, che gli consentono di estrarre vari tipi di informazioni sensibili.
In che modo il malware HelloTeacher si è infiltrato nel mio dispositivo?
Il malware HelloTeacher impiega una tattica ingannevole mascherandosi come una popolare app di messaggistica come Viber o Kik Messenger su canali non ufficiali come negozi di terze parti. Questo ingegnoso travestimento induce individui ignari a installare inconsapevolmente HelloTeacher.
Combo Cleaner mi proteggerà dai malware?
Combo Cleaner è in grado di identificare e rimuovere la maggior parte delle infezioni da malware note. Tuttavia, è importante notare che malware sofisticati spesso si nascondono profondamente all'interno del sistema. Pertanto, è fondamentale eseguire una scansione completa per garantire il rilevamento completo e la rimozione di qualsiasi malware nascosto.
Eccezionale!
▼ Mostra Discussione