Come rimuovere DocSwap dai dispositivi Android infetti
Scitto da Tomas Meskauskas il
Che cos'è DocSwap?
DocSwap è un malware Android camuffato da "App di autenticazione per la visualizzazione di documenti". Le sue caratteristiche suggeriscono che gli aggressori lo utilizzano per raccogliere informazioni sensibili dai dispositivi infetti, compromettendo potenzialmente i dati personali e la sicurezza. Gli utenti che installano inconsapevolmente questo malware possono incorrere in rischi per la privacy, tra cui il furto di identità e la violazione dei dati.
Il malware DocSwap in dettaglio
DocSwap decifra innanzitutto un file APK nascosto ed esegue il codice dannoso memorizzato in un file DEX interno. A tale scopo utilizza una versione modificata del progetto open-source LoadedApkPlugin, aggiungendo un ulteriore livello di crittografia XOR per rendere più difficile il rilevamento e l'analisi.
Una volta decifrato, l'APK carica il file DEX, che esegue diverse attività dannose. Queste includono il furto di informazioni sensibili attraverso il keylogging (utilizzando i servizi di accessibilità), il trasferimento di file su socket di rete, la manipolazione della fotocamera del dispositivo e la registrazione dell'audio.
Il malware estrae tutte le autorizzazioni elencate nel suo file e tenta di ottenere l'accesso completo al dispositivo. Se alcune autorizzazioni non vengono concesse automaticamente, il malware chiede attivamente all'utente di approvarle. DocSwap cerca di ottenere le autorizzazioni per visualizzare e modificare i registri delle chiamate, leggere, modificare ed eliminare i contatti e avviare le telefonate.
Cerca inoltre di ottenere le autorizzazioni per accedere allo stato e alle informazioni del dispositivo, leggere e scrivere file di archiviazione esterni, intercettare, inviare e leggere messaggi SMS e inviare notifiche. Una volta concesse, queste autorizzazioni consentono al malware di registrare le battute dei tasti ed eseguire altre attività dannose. È noto che DocSwap può eseguire oltre 50 comandi.
Per rimanere attivo, il malware DocSwap esegue un servizio in background nascosto che si avvia automaticamente al riavvio del telefono. Inoltre, crea notifiche persistenti per impedire al sistema di disattivarlo.
Con DocSwap, i criminali informatici possono rubare credenziali di accesso, messaggi privati e altri dati sensibili. Possono anche trasferire file in remoto, attivare la fotocamera del dispositivo per spiare gli utenti e registrare segretamente l'audio. Questo malware consente agli aggressori di monitorare le vittime, rubare informazioni finanziarie o personali e utilizzarle per frodi, furti di identità e altri scopi dannosi.
| Nome | DocSwap applicazione dannosa |
| Tipo di minaccia | Malware Android, applicazione dannosa, applicazione indesiderata. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.FakeApp.aAD), ESET-NOD32 (Android/Spy.Agent.ECE), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Agent.amn), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza l'autorizzazione dell'utente, appaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili, vengono diffusi annunci pubblicitari intrusivi. |
| Metodi di distribuzione | App di autenticazione per la visualizzazione dei documenti, app store di terze parti/non ufficiali, link ingannevoli in messaggi fraudolenti, annunci malevoli. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Conclusione
DocSwap è un pericoloso malware Android che ruba informazioni sensibili, spia gli utenti e persiste sui dispositivi infetti. Le sue funzionalità comportano seri rischi, tra cui il furto di dati, la frode finanziaria e l'invasione della privacy. Rimuoverlo rapidamente è essenziale per evitare danni.
Altri esempi di malware Android sono PlayPraetor, KoSpy, e SpyLend.
Come si è infiltrato DocSwap nel mio dispositivo?
Il malware DocSwap viene distribuito sotto l'apparenza di una "App di autenticazione per la visualizzazione di documenti". Tali app dannose sono tipicamente distribuite attraverso app store non ufficiali/di terze parti, annunci pubblicitari dannosi, siti web di phishing o compromessi, o link dannosi inviati tramite e-mail o piattaforme di messaggistica. Spesso gli utenti eseguono app dannose senza saperlo.
Come evitare l'installazione di malware?
Scaricate sempre le applicazioni da fonti affidabili, come Google Play, ed evitate gli app store di terze parti o i siti web non verificati. Non cliccate sui link contenuti in e-mail, messaggi SMS o post sui social media inaspettati o sospetti, perché potrebbero indirizzarvi verso download o altri contenuti dannosi.
Aggiornate regolarmente il sistema e le applicazioni Android e assicuratevi di attivare Google Play Protect per una maggiore protezione. Inoltre, non fidatevi dei pop-up, degli annunci e di elementi simili presenti su pagine web dubbie.
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo è stato infettato dal malware DocSwap, devo formattare il dispositivo di archiviazione per eliminarlo?
La formattazione del dispositivo di archiviazione può rimuovere DocSwap. Tuttavia, è meglio utilizzare un antivirus affidabile o uno strumento di rimozione malware come Combo Cleaner per scansionare e pulire il dispositivo, poiché la formattazione cancellerà tutti i dati memorizzati sul dispositivo.
Quali sono i principali problemi che il malware può causare?
Il malware può rubare dati personali, corrompere file, iniettare altri payload dannosi e rallentare i dispositivi. Può anche garantire agli aggressori il controllo di un sistema.
Qual è lo scopo di DocSwap?
Lo scopo di DocSwap è rubare informazioni sensibili dai dispositivi Android. Queste possono includere credenziali di accesso, dati personali e altre informazioni private. Per farlo, il malware utilizza il keylogging, lo spionaggio della fotocamera del dispositivo e la registrazione dell'audio.
Come si è infiltrato DocSwap nel mio dispositivo?
DocSwap si è probabilmente infiltrato nel vostro dispositivo attraverso un'applicazione dannosa camuffata da applicazione legittima di "Autenticazione della visualizzazione di documenti". Potrebbe essere stata scaricata da un app store non ufficiale, da un link sospetto, da una pubblicità dannosa o da una fonte simile.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere quasi tutte le infezioni da malware conosciute. Tuttavia, il malware avanzato spesso si nasconde in profondità nel sistema, quindi è essenziale eseguire una scansione completa del sistema per garantire una rimozione completa.
Eccezionale!
▼ Mostra Discussione