Hoe verwijder ik PixBankBot-malware van Android-apparaten?
Geschreven door Tomas Meskauskas op
Wat voor soort malware is PixBankBot?
PixBankBot is een Android banking Trojan die gebruik maakt van het Pix instant payment platform. Deze Trojan richt zich specifiek op Braziliaanse banken en gebruikt een ATS (Automated Transfer System)-raamwerk voor zijn activiteiten. Het moet zo snel mogelijk worden verwijderd van geïnfecteerde apparaten om mogelijke schade te voorkomen.
PixBankBot malware overzicht
Net als andere Trojan bankprogramma's die gebruikmaken van een ATS-framework, maakt PixBankBot gebruik van de Accessibility Service om gebruikersinterfacecomponenten (UI) in specifieke banktoepassingen te detecteren en te controleren. Door gebruik te maken van de Accessibility Service krijgt PixBankBot de mogelijkheid om frauduleuze transacties uit te voeren op het apparaat van het slachtoffer via de implementatie van ATS-functionaliteit.
Daarnaast wordt de Accessibility-service door PixBankBot gebruikt om keylogging-operaties uit te voeren, waarbij de interacties van de gebruiker met UI-elementen worden vastgelegd en gevoelige informatie wordt vastgelegd, waaronder rekeningsaldi, details van geldoverboekingen en de beoogde bank.
Het operationele mechanisme van PixBankBot
Wanneer het slachtoffer in contact komt met toepassingen zoals Banco Itaú, C6 Bank, Mercado Pago, Nubank, PicPay of PagBank Banco (en mogelijk andere doel-apps), activeert PixBankBot keylogging en start het de uitvoering van het ATS. Houd er rekening mee dat de lijst met geviseerde apps kan worden uitgebreid.
Nadat de beoogde banktoepassing is geïdentificeerd, start PixBankBot een andere activiteit waarbij een vervalst venster wordt gegenereerd binnen een legitieme toepassing. Dit misleidende venster is ontworpen om de schadelijke activiteiten van de malware te verbergen voor nietsvermoedende gebruikers.
Terwijl het valse venster wordt weergegeven, werkt de malware op de achtergrond en interageert met de echte banktoepassing om automatische geldoverdrachten uit te voeren.
De malware haalt de Pix-sleutel van het slachtoffer op van een URL van Pastebin en gebruikt systeemgegenereerde unieke sleutels om geldoverdrachten uit te voeren. De malware scant naar specifieke UI-elementen met betrekking tot de Pix-sleutel, voegt de verkregen sleutel in en haalt het rekeningsaldo van het slachtoffer op. Vervolgens wordt het bedrag van de overschrijving ingevoerd en wordt de transactie voltooid door automatisch op relevante UI-elementen te klikken.
Daarnaast probeert de malware gebruikers te misleiden om hun vingerafdrukken te authenticeren voor biometrische bevestiging. Na de overdracht stuurt de malware de transactiegegevens naar een command-and-control (C&C) server en verwijdert zichzelf van het geïnfecteerde apparaat om detectie te voorkomen.
| Naam | PixBankBot banking Trojan |
| Type bedreiging | Android malware, Android banking Trojan |
| Detectienamen | Avast-Mobile (Android:Evo-gen [Trj]), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Yaats.a), McAfee (Artemis!CC6DE8F780B8), Symantec Mobile Insight (AdLibrary:Generisk), volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, ongeautoriseerde transacties |
| Verspreidingsmethodes | Valse PDF-toepassingen, schadelijke online advertenties, social engineering, scamwebsites |
| Schade | Gestolen persoonlijke gegevens, geldverlies, verminderde prestaties van het apparaat, de batterij is snel leeg, verminderde internetsnelheid |
| Malware verwijderen (Android) | Om malware-infecties te verwijderen, raden onze beveiligingsonderzoekers aan om uw Android-apparaat te scannen met legitieme anti-malware software. Wij raden Avast, Bitdefender, ESET of Malwarebytes aan. |
Conclusie
PixBankBot kan aanzienlijke schade aanrichten, waaronder ongeautoriseerde overschrijvingen, gegevensdiefstal, privacyschendingen en compromittering van apparaten. Het vormt een aanzienlijke bedreiging voor de financiële veiligheid en privacy van slachtoffers en benadrukt de noodzaak van sterke beveiligingsmaatregelen en voorzichtig gebruikersgedrag.
Voorbeelden van andere malware die gericht is op Android-gebruikers zijn DogeRAT, AhRat en Guerilla.
Hoe heeft PixBankBot mijn apparaat geïnfiltreerd?
De PixBankBot-malware vermomt zichzelf als een legitieme PDF-toepassing en gebruikt het pictogram en de naam van de toepassing om gebruikers te misleiden tot installatie. Deze slimme tactiek zorgt ervoor dat de schadelijke toepassing echt lijkt en vergroot de kans dat slachtoffers in de zwendel trappen.
Na installatie vraagt de PixBankBot Banking Trojan het slachtoffer om de Accessibility Service in te schakelen, die de malware misbruikt voor keylogging en het ATS framework.
Hoe vermijdt u de installatie van malware?
Download applicaties van betrouwbare bronnen zoals de Google Play Store en andere officiële winkels. Vermijd het sideloaden van apps van onbekende bronnen. Houd het besturingssysteem en de apps van uw apparaat up-to-date. Wees voorzichtig met het klikken op links of het downloaden van bestanden van onbekende bronnen, vooral in onverwachte e-mails of sms-berichten.
Lees recensies voordat u apps downloadt (vermijd apps zonder recensies). Vertrouw advertenties op duistere websites niet. Installeer een betrouwbare antivirus- of beveiligingsapp op uw apparaat om te scannen op malware-infecties en deze te voorkomen.
Screenshot van PixBankBot die zich voordoet als een legitieme PDF-toepassing:
Snelmenu:
- Introductie
- Hoe de browsergeschiedenis in de Chrome-webbrowser verwijderen?
- Hoe de browsermeldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsergeschiedenis in de Firefox-webbrowser verwijderen?
- Hoe de browsermeldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox webbrowser resetten?
- Hoe mogelijk ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het dataverbruik van verschillende applicaties controleren?
- Hoe de laatste software-updates installeren?
- Hoe het systeem terugzetten naar de fabrieksinstellingen?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel de browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat u de optie "Meldingen" ziet en tik erop.
U vindt de websites die browsermeldingen geven, tikt erop en klikt op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als u echter dezelfde site opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "BEHEER OPSLAG", vervolgens op "VERWIJDER ALLE GEGEVENS" en bevestig de actie door op "OK" te tikken. Merk op dat het resetten van de browser alle opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet fabrieksinstellingen en andere gegevens worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "VERWIJDER DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slot" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de toepassing "Firefox" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "VERWIJDER GEGEVENS" en bevestig de actie door op "VERWIJDEREN" te tikken. Merk op dat het resetten van de browser alle gegevens verwijdert die in de browser zijn opgeslagen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet fabrieksinstellingen en andere gegevens worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde toepassing niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), moet u proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van schadelijke toepassingen die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de knop "Aan/uit" en houd deze ingedrukt totdat u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kunt u deze starten door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Verbindingen" ziet en tik erop.
Scroll naar beneden totdat u "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet u zowel het mobiele als Wi-Fi-gegevensverbruik controleren.
Als u een toepassing vindt die veel gegevens gebruikt, ook al gebruikt u deze nooit, dan raden wij u aan deze zo snel mogelijk te deïnstalleren.
Installeer de laatste software updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden u ook aan om de optie "Download updates automatisch" in te schakelen - dan zal het systeem u op de hoogte stellen zodra er een update beschikbaar is en/of deze automatisch installeren.
Zet het systeem terug naar de fabrieksinstelling:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de fabrieksinstellingen van het systeem te herstellen en het apparaat in het algemeen schoon te maken. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
U kunt ook de basissysteeminstellingen herstellen en/of gewoon de netwerkinstellingen.
Ga naar "Instellingen", scroll naar beneden totdat u "Over telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de fabrieksinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de fabrieksinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVEER".
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met PixBankBot-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
In plaats van onmiddellijk te formatteren, is het raadzaam om betrouwbare antivirus- of antimalwaresoftware te gebruiken om de malware op te sporen en te verwijderen. Deze betrouwbare beveiligingsprogramma's kunnen malware vaak effectief detecteren en verwijderen van je apparaat.
Wat zijn de grootste problemen die malware kan veroorzaken?
De gevolgen van malware kunnen variëren afhankelijk van het type en de mogelijkheden, waaronder het risico op identiteitsdiefstal, financieel verlies, gegevensverlies, verminderde computerprestaties en mogelijk extra infecties.
Wat is het doel van de PixBankBot Trojan?
Het voornaamste doel van de PixBankBot Trojan is om banken als doelwit te kiezen en frauduleuze activiteiten uit te voeren. Het maakt gebruik van het Pix instant betalingsplatform en gebruikt een Automated Transfer System (ATS) om ongeautoriseerde geldoverdrachten uit te voeren vanaf de rekeningen van het slachtoffer.
Hoe heeft PixBankBot mijn apparaat geïnfiltreerd?
PixBankBot gebruikt een bedrieglijke strategie door zich voor te doen als een legitieme PDF-toepassing en maakt gebruik van visuele elementen zoals het pictogram en de naam van de app om gebruikers te laten geloven dat het een echte en betrouwbare app is. Deze tactiek is bedoeld om gebruikers te manipuleren om de malware te installeren, waardoor uiteindelijk hun apparaten worden aangetast en ze worden blootgesteld aan kwaadaardige activiteiten.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan de meeste bekende malware-infecties identificeren en verwijderen. Het is echter belangrijk op te merken dat geavanceerde malware zichzelf vaak diep in het systeem verbergt. Daarom is het uitvoeren van een uitgebreide systeemscan cruciaal om ervoor te zorgen dat alle verborgen malware op hoog niveau wordt opgespoord en verwijderd.
Uitmuntend!
▼ Toon discussie