Verwijderen van FaceStealer - Facebook inloggegevens stelende malware
Geschreven door Tomas Meskauskas op
Wat is FaceStealer?
Toen we nieuwe inzendingen op VirusTotal onderzochten, vonden we FaceStealer - een Android-specifieke trojan. Deze malware werkt als een Facebook account inloggegevens stealer. Ons onderzoek onthulde dat het wordt verspreid onder het mom van verschillende populaire Android applicaties.
FaceStealer overzicht
Bij het analyseren van FaceStealer hebben we gemerkt dat het eerst een venster van de vermeende app toont, dat vervolgens wordt omgeleid naar een venster waarin gebruikers worden gevraagd zich aan te melden met hun Facebook-gegevens.
Het weergegeven venster is de legitieme Facebook-inlogpagina. De inloggegevens (d.w.z. e-mailadres/telefoonnummer en wachtwoord) die op de pagina worden ingevoerd, worden echter geregistreerd via kwaadaardige JavaScript-code die erin wordt geïnjecteerd. Daarna wordt deze informatie naar de cybercriminelen gestuurd. Naast Facebook-gegevens is FaceStealer ook gericht op user-agent- en browsercookiegegevens.
Deze trojan is vermomd als veel populaire toepassingen; op het moment van onderzoek waren dat er 26 (volledige lijst hieronder).
Om nader in te gaan op hoe criminelen gekaapte sociale netwerkaccounts zoals Facebook kunnen misbruiken, kunnen ze deze gebruiken om malware te verspreiden door schadelijke bestanden en koppelingen te spammen, reclame te maken voor inhoud, desinformatie te verspreiden, enzovoort. Cybercriminelen kunnen zich ook voordoen als de echte eigenaar van de account en hun vrienden om leningen vragen.
Kortom, FaceStealer malware infecties kunnen resulteren in ernstige privacy problemen, financiële verliezen en zelfs identiteitsdiefstal.
| Naam | FaceStealer malware |
| Type bedreiging | Android malware, kwaadaardige toepassing, ongewenste toepassing. |
| Detectienamen | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Adware.Agent.BL), ESET-NOD32 (Multiple Detections), Kaspersky ( HEUR:Trojan-PSW.AndroidOS.Facestealer.x), volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen dubieuze toepassingen, het gegevens- en batterijverbruik neemt aanzienlijk toe, browsers worden omgeleid naar dubieuze websites, er worden opdringerige advertenties geleverd. |
| Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, bedrieglijke toepassingen, scam websites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, enz.), verminderde prestaties van het toestel, batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, gestolen identiteit (kwaadaardige apps kunnen communicatie-apps misbruiken). |
| Malware verwijderen (Android) | Om malware-infecties te elimineren raden onze beveiligingsonderzoekers aan uw Android-toestel te scannen met legitieme anti-malware software. Wij raden Avast, Bitdefender, ESET of Malwarebytes aan. |
Malware in het algemeen
SharkBot, Ghimob, BlackRock, en AbstractEmu zijn enkele voorbeelden van Android-specifieke kwaadaardige programma's. Het is van belang te vermelden dat malware een breed scala aan schadelijke eigenschappen kan hebben, die in uiteenlopende combinaties kunnen voorkomen.
Veel voorkomende kenmerken zijn: extractie van informatie, bestandsverwijdering, downloaden/installeren van aanvullende kwaadaardige software, spionage (bv. schermopname, keylogging, audio/video-opname via microfoons en camera's, enz.), gegevensversleuteling/schermvergrendeling (ransomware), toegang op afstand/controle mogelijk maken, enz.
Benadrukt moet worden dat, ongeacht hoe malware werkt, infecties de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar brengen. Daarom is het van cruciaal belang dat alle bedreigingen onmiddellijk na detectie worden verwijderd.
Hoe heeft FaceStealer mijn apparaat geïnfiltreerd?
Zoals gemeld op de K7 Security blog, werden de nepapplicaties (volledige lijst) die FaceStealer vermomde als - gedistribueerd via de Google Play Store en diverse app stores van derden.
Het gebruik van legitieme downloadbronnen is geen wijdverspreide distributietechniek voor malware, vanwege de korte levensduur ervan. Kwaadaardige inhoud op deze downloadkanalen kan snel worden gedetecteerd/gerapporteerd en vervolgens verwijderd; dat betekent echter niet dat deze processen onfeilbaar zijn. Veel van de apps van FaceStealer zijn momenteel niet beschikbaar op Google Play, maar nieuwe apps kunnen ze vervangen hebben.
Het is de moeite waard om andere veelgebruikte distributietechnieken voor malware te vermelden, zoals spammail (bijv. e-mails, sms-berichten, enz.), dubieuze downloadkanalen (bijv. onofficiële en freeware-sites, peer-to-peer sharing-netwerken, enz.), online oplichting, illegale activeringsprogramma's ("kraken") en nep-updaters.
Hoe voorkom ik de installatie van malware?
Wij raden ten sterkste aan om toepassingen te onderzoeken en ze alleen van officiële/geverifieerde bronnen te downloaden. Bovendien moet software worden geactiveerd en bijgewerkt met hulpprogramma's/functies die door echte ontwikkelaars worden geleverd, aangezien die van derden malware kunnen bevatten.
Een andere aanbeveling is om voorzichtig te zijn met inkomende berichten. De bijlagen en koppelingen in verdachte/onrelevante mail (e-mails, sms'jes, enz.) mogen niet worden geopend - aangezien dat tot een systeeminfectie kan leiden.
We moeten benadrukken hoe belangrijk het is dat een betrouwbare antivirusprogramma wordt geïnstalleerd en bijgewerkt. Deze software moet worden gebruikt om regelmatig systeemscans uit te voeren en gedetecteerde bedreigingen te verwijderen.
Verschijning van FaceStealer trojan vermomd als een legitieme toepassing op Google Play:
Lijst van apps gebruikt om FaceStealer trojan te vermommen omvat (maar is niet beperkt tot):
- App Lock Keep
- App Lock Manager
- Artnes Video Splitter
- Fresh Desktop
- Horoscope Daily
- Horoscope Pi
- Inwell Fitness
- Lockit Master
- Oxagon Lighting Wallpaper Edge
- PIP Photo
- Photo Collage Editor
- Photo Maker
- Pics Art
- Processing Photo
- Prowire VPN – Secure Proxy
- Pumpkin VPN
- Rubbish Cleaner
- Secure VPN Pro
- Smart Scanner
- Snap Beauty Camera
- Snap Editor Pro
- Super-Click VPN
- Touch VPN Proxy
- Unique vpn
- YouPerfect Camera
- YourWallpaper
Snelmenu:
- Introductie
- Hoe verwijdert u de browsergeschiedenis in de Chrome-webbrowser?
- Hoe schakelt u de browsermeldingen uit in de Chrome-webbrowser?
- Hoe reset ik de Chrome-webbrowser?
- Hoe de browsergeschiedenis verwijderen in de Firefox-webbrowser?
- Hoe kan ik browsermeldingen uitschakelen in de Firefox-webbrowser?
- Hoe de Firefox web browser resetten?
- Hoe mogelijk ongewenste en/of kwaadaardige toepassingen verwijderen?
- Hoe het Android toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het dataverbruik van verschillende applicaties controleren?
- Hoe de laatste software updates installeren?
- Hoe kan ik het systeem terugzetten naar de standaard toestand?
- Hoe schakel ik toepassingen met beheerdersrechten uit?
Verwijder de browsegeschiedenis uit de Chrome-webbrowser:
Tik op de "Menu" knop (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende dropdown menu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenssoorten die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden tot u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot u de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen leveren, tik erop en klik op "Wissen & resetten". Dit zal de verleende toestemmingen voor deze websites om meldingen te leveren verwijderen. Als u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u ervoor kiest om te weigeren, gaat de website naar de sectie "Geblokkeerd" en zal u niet langer om de toestemming vragen).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat u "Chrome" applicatie vindt, selecteer het en tik op "Opslag" optie.
Tik op "BEWERK GEHEUGEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Let op dat het resetten van de browser alle gegevens verwijdert die erin zijn opgeslagen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden gewist. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder de browsergeschiedenis van de Firefox webbrowser:
Tik op de "Menu" knop (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende dropdown menu.
Scroll omlaag tot u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenssoorten die u wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel browsermeldingen in de webbrowser Firefox uit:
Bezoek de website die browsermeldingen levert, tik op het pictogram dat links van de URL-balk wordt weergegeven (het pictogram is niet noodzakelijk een "Slot") en selecteer "Site-instellingen bewerken".
In de geopende pop-up kiest u de optie "Meldingen" en tikt u op "Verwijderen".
Reset de Firefox webbrowser:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat u "Firefox" applicatie vindt, selecteer het en tik op "Opslag" optie.
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Let op dat het resetten van de browser alle gegevens verwijdert die daarin zijn opgeslagen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens zullen worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of kwaadaardige toepassingen:
Ga naar "Instellingen", scroll naar beneden tot u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of kwaadaardige toepassing ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde toepassing niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), kunt u proberen de "Veilige modus" te gebruiken.
Start het Android toestel op in "Veilige modus":
De "Veilige modus" in het Android besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bv. kwaadaardige toepassingen verwijderen die gebruikers verhinderen wanneer het toestel "normaal" draait).
Druk op de "Power" knop en houd deze ingedrukt totdat u het "Power off" scherm ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende toepassingen:
Ga naar "Instellingen", scroll naar beneden tot u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het gebruik van elke toepassing. Legitieme/legitieme applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en energie te besparen. Daarom kan een hoog batterijverbruik erop wijzen dat de toepassing kwaadaardig is.
Controleer het dataverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot u "Verbindingen" ziet en tik erop.
Scroll naar beneden tot je "Data usage" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/legitieme toepassingen ontworpen om het gegevensgebruik zo veel mogelijk te beperken. Dit betekent dat een enorm gegevensgebruik kan wijzen op de aanwezigheid van een kwaadaardige toepassing. Merk op dat sommige kwaadaardige toepassingen ontworpen kunnen zijn om alleen te werken wanneer het toestel is verbonden met een draadloos netwerk. Om deze reden moet u zowel het mobiele als het Wi-Fi-gegevensgebruik controleren.
Als u een toepassing vindt die veel gegevens gebruikt, ook al gebruikt u die nooit, dan raden wij u sterk aan die zo snel mogelijk te verwijderen.
Installeer de laatste software-updates:
Het up-to-date houden van de software is een goede praktijk als het gaat om de veiligheid van het apparaat. De fabrikanten van het toestel brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, en daarom moet u er altijd voor zorgen dat de software van uw toestel up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot u "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden u ook aan om de optie "Updates automatisch downloaden" in te schakelen - het systeem zal u dan waarschuwen zodra er een update is uitgebracht en/of deze automatisch installeren.
Zet het systeem terug in de fabrieksinstellingen:
Het uitvoeren van een "Factory Reset" is een goede manier om alle ongewenste applicaties te verwijderen, de standaardinstellingen van het systeem te herstellen en het apparaat in het algemeen schoon te maken. U moet er echter rekening mee houden dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de SIM-kaart), SMS-berichten, enzovoort. Met andere woorden, het toestel wordt teruggezet naar zijn oorspronkelijke staat.
U kunt ook de basissysteeminstellingen herstellen en/of alleen de netwerkinstellingen.
Ga naar "Instellingen", scroll naar beneden tot u "Over telefoon" ziet en tik erop.
Scroll naar beneden tot u "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen terugzetten naar standaard;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen terugzetten naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig wissen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadaardige applicatie privileges op beheerdersniveau krijgt, kan dat het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke privileges hebben en de apps uitschakelen die dat niet zouden moeten.
Ga naar "Instellingen", scroll naar beneden tot u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll omlaag tot u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Identificeer toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn apparaat is geïnfecteerd met FaceStealer-malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?
Nee, malware zoals FaceStealer kan worden verwijderd zonder opmaak.
Wat zijn de grootste problemen die FaceStealer malware kan veroorzaken?
Welke gevaren een kwaadaardig programma met zich meebrengt, hangt af van de capaciteiten van het programma en de doelstellingen van de cybercriminelen. Aangezien FaceStealer zich richt op de inloggegevens van Facebook, kunnen slachtoffers hun Facebook-accounts kwijtraken en de bijbehorende problemen ondervinden (zoals ernstige privacyproblemen, identiteitsdiefstal, financiële verliezen, enzovoort).
Wat is het doel van FaceStealer malware?
Doorgaans wordt malware gebruikt om winst te genereren. Andere mogelijke redenen zijn politieke en geopolitieke motieven, persoonlijke wrok (d.w.z. het aanvallen van specifieke slachtoffers), verstoring van processen (bv. website, dienst, bedrijf, organisatie, enz.), of de malware kan gewoon worden vrijgegeven om de cybercriminelen te vermaken.
Hoe heeft FaceStealer malware mijn computer geïnfiltreerd?
FaceStealer wordt verspreid vermomd als populaire toepassingen via Google Play en app stores van derden. In het algemeen wordt malware verspreid met behulp van phishing en social engineering-technieken. Kwaadaardige programma's worden voornamelijk verspreid via spammail, onofficiële en freeware download websites, drive-by downloads, Peer-to-Peer sharing netwerken, online oplichting, nepupdates, illegale software activatie tools ("cracks"), enzovoort. Sommige malware kan zichzelf verspreiden via lokale netwerken en verwisselbare opslagmedia (bv. USB-flashstations, externe harde schijven, enz.).
Zal Combo Cleaner mij beschermen tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware infecties detecteren en verwijderen. Benadrukt moet worden dat het uitvoeren van een volledige systeemscan cruciaal is - aangezien geavanceerde kwaadaardige software zich meestal diep in systemen verbergt.
Uitmuntend!
▼ Toon discussie