Come eliminare il malware SoumniBot dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è SoumniBot?
SoumniBot è un malware specifico per Android. Utilizza sofisticate tecniche di anti-analisi e anti-rilevamento. Questo programma dannoso è progettato per esfiltrare dati sensibili dai dispositivi, con particolare attenzione alle informazioni bancarie. È stato osservato che SoumniBot è stato sfruttato in attacchi rivolti a clienti di banche online coreane.
Panoramica del malware SoumniBot
Come accennato nell'introduzione, SoumniBot impiega nuove tecniche anti-rilevamento e anti-analisi. Per fornire una panoramica, questo malware si basa sull'offuscamento del suo Android manifesto. Gli sviluppatori di SoumniBot avevano individuato delle possibilità di sfruttamento nelle procedure di estrazione e parsing del manifest.
Sono stati implementati tre metodi per complicare il rilevamento/analisi. Il primo è l'errata convalida del campo del metodo di compressione. Mentre in genere i decompressori considerano non validi i manifesti come quello di SoumniBot, il parser APK di Android lo riconosce e consente l'installazione del malware.
Il secondo è la dimensione non valida del manifesto. Il manifest archiviato malevolo è più grande di quanto indicato, il che causa una sovrapposizione. Sebbene i parser che seguono protocolli più rigorosi trovino il file illeggibile, il parser APK di Android non riscontra alcun problema.
Il terzo sono i lunghi nomi degli spazi dei nomi. Nomi di spazi dei nomi eccessivi rendono illeggibili i manifesti, ma questo errore viene evitato perché il sistema operativo Android li ignora completamente. Inoltre, il malware nasconde la sua icona dopo l'installazione.
Una volta riuscita l'infiltrazione, SoumniBot inizia a stabilire una connessione con il suo server C&C (Command and Control). Il malware inizia a raccogliere le informazioni di interesse, ad esempio l'indirizzo IP e i dati di geolocalizzazione, l'elenco delle applicazioni installate, il provider di servizi mobili, il numero di telefono, l'elenco dei contatti, gli account, i livelli di volume delle suonerie, ecc.
SoumniBot può anche aggiungere e rimuovere contatti. È in grado di esfiltrare gli SMS e gli MMS delle vittime e può anche inviare messaggi di testo. Sebbene quest'ultima funzionalità non sia stata utilizzata per scopi complessi al momento della ricerca, è opportuno ricordare che gli sviluppatori di SoumniBot potrebbero aggiornarlo per funzionare come Toll Fraud malware.
Questo programma è in grado di esfiltrare foto e video memorizzati su dispositivi compromessi. Può passare dalla modalità silenziosa a quella di debug.
SoumniBot cerca i certificati digitali delle banche coreane. Questi certificati di identificazione vengono rilasciati ai clienti delle banche per consentire loro di accedere ai servizi bancari online e di effettuare transazioni.
Va detto che gli sviluppatori di malware sono soliti migliorare le loro creazioni; pertanto, potenziali versioni future di SoumniBot potrebbero vantare abilità e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di software come SoumniBot sui dispositivi può portare a gravi problemi di privacy, a significative perdite finanziarie e al furto di identità.
| Nome | SoumniBot virus |
| Tipo di minaccia | Malware Android, applicazione dannosa, malware bancario, trojan bancario. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Spy.5987), ESET-NOD32 (Una variante di Generik.NIEWRII), Fortinet (Android/Agent.MFQ!tr), Kaspersky (HEUR:Trojan-Banker.AndroidOS.SoumniBot), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffaldini. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, rapido esaurimento della batteria, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware bancario
GoldPickaxe, Greenbean, e Joker sono solo un paio dei nostri articoli sulle minacce informatiche Android che cercano di ottenere informazioni bancarie. Il software dannoso può avere diverse capacità nocive che sono illimitate dalla classificazione del programma. Ad esempio, le funzionalità di furto di dati sono prevalenti in generale.
Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza su un dispositivo minaccia l'integrità del sistema e la sicurezza degli utenti. Pertanto, è essenziale eliminare tutte le minacce immediatamente dopo il loro rilevamento.
Come si è infiltrato SoumniBot nel mio dispositivo?
In genere, il malware prolifera utilizzando tattiche di phishing e social engineering. Il software dannoso viene solitamente camuffato o fornito in bundle con contenuti legittimi/ordinari.
Le tecniche di distribuzione del malware più diffuse includono: download drive-by (furtivi/ingannevoli), canali di download non affidabili (ad esempio, siti web di file-hosting freeware e gratuiti, reti di condivisione Peer-to-Peer, app store di terze parti, ecc.), allegati/link dannosi nello spam (ad esempio, e-mail, DM/PM, SMS, post sui social media, ecc.), malvertising, truffe online, strumenti illegali di attivazione del software ("cracks") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono auto-diffondersi attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB e così via).
Vale la pena ricordare che il malware può essere trovato su fonti di download legittime, come il Google Play Store. Sebbene il periodo di hosting possa essere breve, in quanto i sistemi di revisione/segnalazione degli upload garantiscono la rimozione del contenuto dannoso, i criminali informatici possono comunque trovarlo redditizio.
Come evitare l'installazione di malware?
Si consiglia vivamente di effettuare ricerche sul software leggendo i termini e le recensioni degli utenti/esperti, controllando le autorizzazioni, verificando la legittimità dello sviluppatore, ecc. Inoltre, tutti i download devono essere effettuati da canali ufficiali e affidabili. I programmi devono essere attivati e aggiornati utilizzando funzioni/strumenti originali, poiché quelli ottenuti da terzi possono contenere malware.
Un'altra raccomandazione è quella di fare attenzione durante la navigazione, poiché i contenuti online fraudolenti e pericolosi di solito appaiono innocui. Le e-mail e gli altri messaggi in arrivo devono essere trattati con attenzione. Gli allegati o i link presenti nelle e-mail sospette/irrilevanti non devono essere aperti, perché possono essere infettivi.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi.
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser nel browser web Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Storia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "ADVANZATE", scegliere l'intervallo di tempo e i tipi di dati da eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser web Chrome:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti web che forniscono notifiche al browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, quando si visita di nuovo lo stesso sito, è possibile che venga richiesta nuovamente un'autorizzazione. È possibile scegliere se concedere o meno tali autorizzazioni (se si sceglie di rifiutare, il sito web passerà alla sezione "Bloccato" e non chiederà più l'autorizzazione).
Reimpostare il browser web Chrome:
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Apps" e toccarlo.
Scorrete verso il basso fino a trovare l'applicazione "Chrome", selezionatela e toccate l'opzione "Storage".
Toccare "MANAGE STORAGE", quindi "CLEAR ALL DATA" e confermare l'azione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Sarà inoltre necessario effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser web Firefox:
Toccare il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionare "Storia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionare i tipi di dati che si desidera rimuovere e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser web Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "Lock") e selezionare "Modifica impostazioni sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "Cancella".
Reimpostare il browser web Firefox:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Apps" e toccatelo.
Scorrete verso il basso fino a trovare l'applicazione "Firefox", selezionatela e toccate l'opzione "Storage".
Toccare "Cancella dati" e confermare l'azione toccando "Cancella". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Sarà inoltre necessario effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Apps" e toccatelo.
Scorrere verso il basso fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità sicura".
Avviare il dispositivo Android in "modalità provvisoria":
La "Modalità sicura" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premere il pulsante "Power" e tenerlo premuto fino a visualizzare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità sicura" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Manutenzione dispositivo" e toccatelo.
Toccare "Batteria" e controllare l'utilizzo di ciascuna applicazione. Le applicazioni legittime/genuini sono progettate per utilizzare il minor quantitativo di energia possibile al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrete verso il basso fino a visualizzare "Uso dei dati" e selezionate questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo enorme dei dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia della rete mobile che di quella Wi-Fi.
Se trovate un'applicazione che utilizza molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
Eseguire un "Ripristino di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati all'interno del dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È inoltre possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Andate su "Impostazioni", scorrete verso il basso fino a vedere "Informazioni sul telefono" e toccatelo.
Scorrere verso il basso fino a visualizzare "Reset" e toccarlo. Ora scegliete l'azione che volete eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivare le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Andare su "Impostazioni", scorrere verso il basso fino a visualizzare "Schermo di blocco e sicurezza" e toccarlo.
Scorrete verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccatelo e poi toccate "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware SoumniBot, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede misure così drastiche.
Quali sono i maggiori problemi che il malware SoumniBot può causare?
Le minacce legate a un'infezione dipendono dalle capacità del programma dannoso e dagli obiettivi dei criminali informatici. SoumniBot è un malware che ruba i dati e mira alle informazioni bancarie. Infezioni di questo tipo sono associate a gravi problemi di privacy, perdite finanziarie e furto di identità.
Qual è lo scopo del malware SoumniBot?
Il malware è utilizzato principalmente a scopo di lucro. Tuttavia, i criminali informatici possono utilizzare il software maligno anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, ecc.), impegnarsi nell'hacktivismo e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware SoumniBot nel mio dispositivo Android?
I metodi di distribuzione più comunemente utilizzati includono: download drive-by, truffe online, posta indesiderata, malvertising, fonti di download dubbie (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti e così via), strumenti illegali di attivazione del software ("cracking") e falsi aggiornamenti. Alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi protegge dal malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare praticamente tutte le infezioni da malware conosciute. Va sottolineato che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i programmi dannosi di alto livello si nascondono tipicamente nelle profondità dei sistemi.
Eccezionale!
▼ Mostra Discussione