Hoe FireScam verwijderen van Android-apparaten
Geschreven door Tomas Meskauskas op
Wat is FireScam?
FireScam is malware die gericht is op Android-apparaten. Bedreigers verspreiden de malware via een valse Telegram Premium-app op een phishingsite. FireScam infecteert apparaten met een APK-dropper. De malware vermijdt detectie en steelt gegevens door gebruik te maken van populaire services zoals Firebase. Het moet zo snel mogelijk worden verwijderd van geïnfecteerde apparaten.
FireScam in detail
Eenmaal geïnfiltreerd, controleert FireScam de apps en details van het geïnfecteerde apparaat, zoals het model en de systeemversie, om te zien of het zich in een gecontroleerde of virtuele omgeving bevindt. Dit helpt het om detectie te vermijden, aanvallen aan te passen en beveiligingsmaatregelen te omzeilen voor een succesvolle operatie.
FireScam registreert een service om Firebase pushberichten af te handelen. Na ontvangst van een melding wordt de service geactiveerd door een bepaalde gebeurtenis. Deze service kan commando's op afstand uitvoeren, schadelijke payloads afleveren en gevoelige gegevens van het apparaat naar een externe server sturen zonder dat het slachtoffer hiervan op de hoogte is.
De malware kan ook toegang krijgen tot de Berichten-app en de inhoud van tekstberichten vastleggen. Met deze functie kunnen aanvallers toegang krijgen tot privéberichten en deze stelen. Bovendien detecteert FireScam wanneer het scherm van het apparaat wordt in- of uitgeschakeld en logt de gebeurtenis samen met de naam van de app. Vervolgens wordt deze informatie naar een Firebase database gestuurd, waardoor aanvallers de activiteit op het apparaat kunnen volgen.
De malware gebruikt ook een service om bepaalde meldingen op het apparaat te volgen, zoals berichtmeldingen. Het negeert sommige soorten meldingen, zoals stille meldingen. De apps waar FireScam zich op kan richten zijn Telegram, Viber, VK en WhatsApp. FireScam richt zich ook op gegevens van andere applicaties, zoals de Telefoon-app, Google Play Store en andere.
FireScam controleert alle meldingen die aan bepaalde filters voldoen, waardoor het toegang krijgt tot gevoelige informatie van elke app. Het vraagt om toestemming om alle meldingen te bekijken, waardoor het berichten en waarschuwingen kan onderscheppen en activiteiten zoals aanmeldingen kan volgen, wat de privacy in gevaar brengt.
De malware luistert naar USSD-reacties (zoals van mobiele diensten) en legt details vast zoals rekeningsaldi of transacties. Met toegang tot sms- en telefoondiensten kan het in het geheim USSD-acties volgen en gevoelige gegevens stelen.
Bovendien traceert FireScam gegevens van verschillende bronnen, zoals tekstinvoer, autovulgegevens, klembord, sleepacties en het delen van apps. Het verzamelt gevoelige informatie, zoals wachtwoorden of persoonlijke berichten, en stuurt deze naar een externe server. Door in de gaten te houden waar de gegevens vandaan komen, kan het als spyware specifieke informatie stelen.
De malware controleert ook hoe lang het scherm actief blijft en registreert gebruikersinteracties. Door het monitoren van gebruikersactiviteiten kan de malware leren over app-gebruik en gebruikersgewoonten, waardoor het gevoelige informatie kan verzamelen voor gerichte advertenties, fraude of spionage.
FireScam houdt ook e-commerce activiteiten in de gaten door te controleren op specifieke gebeurtenissen zoals aankopen of terugbetalingen. Als het dergelijke gebeurtenissen detecteert, logt het deze, waardoor het gebruikersgedrag in winkelapps kan volgen. Hierdoor kan de malware gevoelige transactie- en betalingsgegevens verzamelen.
Het is ook belangrijk om te weten dat FireScam afbeeldingen kan downloaden van een specifieke URL. Dit kan worden gebruikt om gegevens over te brengen of om extra schadelijke payloads (malware verborgen in afbeeldingen) te leveren. Het kan Firebase Messaging of andere kanalen gebruiken om deze afbeeldingen te ontvangen, waardoor verdere aanvallen mogelijk zijn.
| Naam | FireScam spyware |
| Type bedreiging | Android-malware, schadelijke toepassing, ongewenste toepassing. |
| Namen van detectie | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Kerty.aAGC), ESET-NOD32 (Een variant van Android/Spy.Agent.DVZ), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.bb), Volledige lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, er verschijnen twijfelachtige toepassingen, het gegevens- en batterijverbruik neemt aanzienlijk toe, browsers worden omgeleid naar twijfelachtige websites, er worden opdringerige advertenties weergegeven. |
| Verspreidingsmethoden | Social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, etc.), verminderde apparaatprestaties, batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, gestolen identiteit. |
| Malware verwijderen (Android) | Om mogelijke malware-infecties te verwijderen, scant u uw mobiel apparaat met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Conclusie
FireScam is een zeer geavanceerd stuk malware dat verschillende tactieken gebruikt om geïnfecteerde apparaten te infiltreren en in de gaten te houden. Het is een gevaarlijke en hardnekkige bedreiging die de privacy in gevaar brengt, gegevensdiefstal vergemakkelijkt en de deur opent voor aanvullende kwaadaardige activiteiten.
Enkele voorbeelden van andere Android-malware zijn NoviSpy, PlainGnome, en BoneSpy.
Hoe heeft FireScam mijn apparaat geïnfiltreerd?
De malware wordt verspreid via een nep Telegram Premium APK op een phishing website gehost op GitHub.io, die zich voordoet als de RuStore app store. De website levert een dropper die FireScam installeert, die vermomd is als de Telegram Premium app. Het belangrijkste malwarebestand, Telegram Premium.apk (ru.get.app), is ontworpen om apparaten met Android-versies van 8 tot 15 te infecteren.
De dropper wordt geïnstalleerd als een app genaamd GetAppsRu. Wanneer je deze opent, toont het een optie om Telegram Premium te installeren. Na het tonen van een beveiligingswaarschuwing, installeert het de FireScam malware (genaamd child.apk) op het apparaat, waarbij het zich voordoet als de Telegram Premium app.
Hoe vermijd je de installatie van malware?
Download apps van betrouwbare bronnen, zoals officiële app stores (Google Play, Apple App Store) of gerenommeerde websites. Gebruik gerenommeerde antivirussoftware om bedreigingen te detecteren en te blokkeren. Werk alle apps en het besturingssysteem regelmatig bij. Klik niet op links of open geen bijlagen in ongevraagde e-mails of berichten, vooral niet van onbekende afzenders.
Vermijd interactie met pop-ups, advertenties, links, knoppen, enz. die je tegenkomt op dubieuze websites.
Misleidende website die een nep Telegram Premium app promoot (bron: cyfirma.com):
FireScam installatieprompt (bron: cyfirma.com):
Valse app vraagt machtigingen (bron: cyfirma.com):
Nep inlogvenster Telegram (bron: cyfirma.com):
Snelmenu:
- Inleiding
- Hoe verwijder ik browsegeschiedenis uit de Chrome-webbrowser?
- Hoe meldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsegeschiedenis uit de Firefox-webbrowser verwijderen?
- Hoe meldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox-webbrowser resetten?
- Hoe potentieel ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android-toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe de nieuwste software-updates installeren?
- Hoe het systeem resetten naar de standaardstatus?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Verwijder de browsegeschiedenis uit de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer de tab "ADVANCED", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde website echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden tot je de applicatie "Chrome" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEWERKEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "CLEAR DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slotje" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden tot u de applicatie "Firefox" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Merk op dat het resetten van de browser alle gegevens die erin zijn opgeslagen zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een potentieel ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als je om de een of andere reden de geselecteerde applicatie niet kunt verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de "Aan/uit" knop en houd deze ingedrukt totdat het scherm "Uitschakelen" verschijnt. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.
Scroll naar beneden tot je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensgebruik controleren.
Als je een applicatie vindt die veel data verbruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te de-installeren.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Download updates automatisch" in te schakelen - hierdoor zal het systeem je verwittigen zodra er een update wordt uitgebracht en/of deze automatisch installeren.
Stel het systeem terug naar de standaardstatus:
Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste toepassingen te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn apparaat is geïnfecteerd met FireScam-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Het formatteren van je opslagapparaat kan de malware verwijderen, maar het is een drastische maatregel. Voer eerst een volledige scan uit met vertrouwde beveiligingssoftware zoals Combo Cleaner om te controleren of het FireScam kan detecteren en verwijderen.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan leiden tot gegevensverlies, diefstal van persoonlijke informatie, systeemcrashes, trage prestaties, onbevoegde toegang tot gevoelige bestanden, financiële verliezen, identiteitsdiefstal en de verspreiding van bijkomende infecties.
Wat is het doel van FireScam?
FireScam is ontworpen om waardevolle informatie te stelen, gebruikers te bespioneren en verdere kwaadaardige acties uit te voeren terwijl het onopgemerkt blijft op het apparaat.
Hoe is FireScam op mijn apparaat geïnfiltreerd?
FireScam is waarschijnlijk je apparaat binnengedrongen via een nep "Telegram Premium" app gedownload van een phishing website. De app werkt als een dropper, installeert de malware en vraagt om toestemming om toegang te krijgen tot gevoelige gegevens zoals berichten en meldingen. Vervolgens communiceert het met een externe server om informatie te stelen en gebruikersactiviteiten te volgen.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan bijna alle bekende malware-infecties detecteren en verwijderen. Geavanceerde malware verbergt zich echter vaak diep in het systeem, dus het wordt aanbevolen om een volledige systeemscan uit te voeren om volledige verwijdering te garanderen.
Uitmuntend!
▼ Toon discussie