Hoe verwijder je NGate malware van je Android toestel
Geschreven door Tomas Meskauskas op
Wat voor soort malware is NGate?
NGate is een Android-specifieke malware. Het doel van deze software is om cybercriminelen in staat te stellen geldautomaten op te nemen van de bankrekeningen van slachtoffers. De techniek die NGate gebruikt om deze activiteit mogelijk te maken, kan echter ook voor andere kwaadaardige doeleinden worden gebruikt.
Op het moment van schrijven werd deze malware gebruikt om klanten van drie Tsjechische banken aan te vallen, waaronder Czech Raiffeisenbank en ČSOB (Československá obchodní banka). Er zijn zes varianten van NGate ontdekt, elk vermomd om overeen te komen met de beoogde bank. Een medewerker van deze campagne werd gearresteerd toen hij geld opnam bij geldautomaten in Praag.
Overzicht NGate malware
NGate staat erom bekend Android-apparaten te infiltreren via smishing (SMS phishing) campagnes die zwaar leunen op social engineering tactieken. Zodra de malware wordt geopend, presenteert deze het slachtoffer een valse bankpagina. NGate vertrouwt op PWA's of WebAPK's om imitatie-apps te maken; meer over deze techniek kun je lezen in ons artikel over de Spy.Banker malware.
De frauduleuze pagina vraagt de ontvanger om hun gegevens in te voeren en de NFC-functie op hun apparaat in te schakelen. De beoogde informatie kan bestaan uit de inloggegevens van de bankrekening, geboortedatum en pincode van de bankpas of creditcard van het slachtoffer. NFC (Near-Field Communication) is het protocol dat NGate misbruikt om geldopnames bij geldautomaten mogelijk te maken.
Dit communicatieprotocol wordt gebruikt om gegevens over te dragen tussen twee apparaten. De malware gebruikt een tool genaamd NFCGate om NFC-signalen via een server door te sturen naar het Android-apparaat van de aanvaller, dat is voorbereid om de telefoon van het slachtoffer te imiteren. Via sociaal gemanipuleerde communicatie wordt het slachtoffer geïnstrueerd om hun bankpas op hun telefoon te plaatsen.
In wezen is dit het proces waarbij een kaart aan een smartphone wordt gekoppeld, waardoor de gebruiker contactloze betalingen met zijn telefoon kan doen. Wat NGate doet, is deze NFC-gegevens naar het apparaat van de aanvaller sturen en zo de kaart eraan koppelen. De cybercrimineel kan de telefoon met de geëmuleerde bankkaart gebruiken om het geld van het slachtoffer op te nemen via een geldautomaat. Het is opmerkelijk dat NGate ook kan worden gebruikt om de opnamelimiet die op de kaart/rekening is ingesteld, te wijzigen.
Als de NFC-methode mislukt, heeft de malware een back-upprotocol waarin het geld wordt overgeboekt naar een andere bankrekening. Dit is een minder wenselijk scenario, omdat bankoverschrijvingen beter traceerbaar zijn.
Zoals vermeld in de inleiding, kan NGate en zijn vermogen om NFC-signalen te misbruiken om de telefoon van het slachtoffer (en de daaraan gekoppelde inhoud) na te bootsen, worden gebruikt voor verschillende snode daden. Het is ook de moeite waard om op te merken dat ontwikkelaars van malware hun software en methodologieën vaak verbeteren. Daarom kunnen mogelijke toekomstige varianten van NGate extra/andere mogelijkheden hebben of voor andere doeleinden worden gebruikt.
Samengevat kan de aanwezigheid van software zoals NGate op apparaten leiden tot ernstige privacyproblemen, aanzienlijke financiële verliezen en identiteitsdiefstal.
| Naam | NGate virus |
| Type bedreiging | Android-malware, schadelijke toepassing |
| Namen van detectie | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Banker.NGate.1.origin), ESET-NOD32 (Android/Spy.NGate.B), Kaspersky (HEUR:Trojan-Banker.AndroidOS.NGate.a), Volledige lijst (VirusTotal) |
| Symptomen | Malware is ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Distributiemethoden | Spam-sms'jes, geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scam-websites. |
| Schade | Geldelijk verlies, gestolen identiteit (schadelijke apps kunnen communicatie-apps misbruiken). |
| Malware verwijderen (Android) | Om mogelijke malware-infecties te verwijderen, scant u uw mobiel apparaat met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Android-specifieke malware-voorbeelden
We hebben geschreven over talloze schadelijke programma's; LianSpy, BlankBot, BingoMod, en GuardZoo zijn slechts enkele voorbeelden van programma's die gericht zijn op Android-besturingssystemen.
Malware is een brede term die programma's met verschillende schadelijke mogelijkheden en doeleinden omvat. Het maakt echter niet uit hoe kwaadaardige software werkt - de aanwezigheid ervan op een systeem bedreigt het apparaat en de veiligheid van de gebruiker. Daarom moeten alle bedreigingen direct na ontdekking worden verwijderd.
Hoe is NGate in mijn apparaat geïnfiltreerd?
De bekende NGate campagne begon met spam sms'jes die waarschijnlijk willekeurig verstuurd werden (smishing). Het sms-bericht ging over een belastingaangifte, maar andere lokmiddelen zijn waarschijnlijk. De sms leidt naar een kwaadaardige pagina die zich voordoet als de website van een online bank, waar het slachtoffer NGate downloadt.
Eenmaal toegang verkregen, vraagt de malware (vermomd als een bank-app) de gebruiker om zijn bankgegevens te verstrekken (zoals inloggegevens). Nadat dat is gedaan, wordt het slachtoffer gecontacteerd door cybercriminelen die zich voordoen als de officiële ondersteuning van hun bank. Ze beweren dat het apparaat gecompromitteerd is en geven het slachtoffer instructies, zoals het wijzigen van de pincode (door de oude in te voeren in de imitator-app - NGate) en het plaatsen van de bankpas op de telefoon (bijvoorbeeld ter verificatie).
NGate kan echter op verschillende manieren werken en dit geldt ook voor de methoden die worden gebruikt om het te verspreiden.
Malware wordt meestal vermomd als of gebundeld met gewone software/media. Wijdverspreide distributietechnieken zijn onder andere: schadelijke bijlagen/links in spam (bijv. sms'jes, e-mails, PM's/DM's, berichten op sociale media, enz.), drive-by downloads, dubieuze downloadkanalen (bijv. freeware en gratis bestandshostingsites, P2P-netwerken voor het delen van bestanden, app-winkels van derden, enz.
Sommige schadelijke programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Hoe voorkomt u de installatie van malware?
We raden ten zeerste aan om software te onderzoeken voordat je het downloadt/aankoopt door de voorwaarden en beoordelingen van experts/gebruikers te lezen, de nodige toestemmingen te controleren en de legitimiteit van de ontwikkelaar te verifiëren. Alle downloads moeten afkomstig zijn van officiële en geverifieerde bronnen. Software moet worden geactiveerd en bijgewerkt met behulp van echte functies/tools, omdat die van derden malware kunnen bevatten.
Een andere aanbeveling is om waakzaam te zijn tijdens het browsen, omdat frauduleuze en schadelijke online inhoud meestal legitiem en onschadelijk lijkt. We raden aan voorzichtig te zijn met inkomende e-mails, PM's/DM's, SMS'jes, enz. Bijlagen of links in verdachte/irrelevante berichten mogen niet worden geopend, omdat ze kwaadaardig kunnen zijn.
Het is van het grootste belang om een betrouwbare antivirus te installeren en up-to-date te houden. Beveiligingsprogramma's moeten worden gebruikt om regelmatig systeemscans uit te voeren en om gedetecteerde bedreigingen en problemen te verwijderen.
Verschijning van kwaadaardige pagina's die zich voordoen als banksites en Google Play die worden gebruikt om NGate te verspreiden (bron: welivesecurity.com):
Screenshot van een NGate die zich voordoet als een Poolse bankapplicatie om NFC-gegevens en PIN-codes van de kaart te stelen. Na het verkrijgen van dergelijke gegevens zijn cybercriminelen in staat om geld op te nemen uit geldautomaten met behulp van de contactloze terminal zonder de noodzaak van een fysieke kaart; bron - ESET Research:
Snelmenu:
- Inleiding
- Hoe verwijder ik browsegeschiedenis uit de Chrome-webbrowser?
- Hoe meldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsegeschiedenis uit de Firefox-webbrowser verwijderen?
- Hoe meldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox-webbrowser resetten?
- Hoe potentieel ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android-toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe de nieuwste software-updates installeren?
- Hoe het systeem resetten naar de standaardstatus?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Verwijder de browsegeschiedenis uit de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer de tab "ADVANCED", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden tot je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde website echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemming wilt geven of niet (als u weigert, gaat de website naar de sectie "Geblokkeerd" en wordt u niet langer om toestemming gevraagd).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden tot je de applicatie "Chrome" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEWERKEN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden tot je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "CLEAR DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slotje" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden tot u de applicatie "Firefox" ziet, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "WISSEN" te tikken. Merk op dat het resetten van de browser alle gegevens die erin zijn opgeslagen zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een potentieel ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als je om de een of andere reden de geselecteerde applicatie niet kunt verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de "Aan/uit"-knop en houd deze ingedrukt totdat het scherm "Uitschakelen" verschijnt. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden tot je "Verbindingen" ziet en tik erop.
Scroll naar beneden tot je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/originele applicaties ontworpen om het dataverbruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van schadelijke toepassingen. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensgebruik controleren.
Als je een applicatie vindt die veel data verbruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te deïnstalleren.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden tot je "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Download updates automatisch" in te schakelen - hierdoor zal het systeem je verwittigen zodra er een update wordt uitgebracht en/of deze automatisch installeren.
Stel het systeem terug naar de standaardstatus:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden tot je "Reset" ziet en tik erop. Kies nu de actie die je wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel toepassingen uit die beheerdersrechten hebben:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met NGate malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Malware verwijderen vereist zelden zulke drastische maatregelen.
Wat zijn de grootste problemen die NGate malware kan veroorzaken?
De gevaren die gepaard gaan met een infectie hangen af van de mogelijkheden van de malware en de doelen van de cybercriminelen. NGate heeft als doel het opnemen van geldautomaten van de bankrekeningen van slachtoffers te vergemakkelijken. Het doet dit door het NFC-protocol te misbruiken om bankkaarten te imiteren. De malware kan ook worden gebruikt om frauduleuze transacties uit te voeren. NGate kan dus ernstige privacyproblemen, financiële verliezen en mogelijk identiteitsdiefstal veroorzaken.
Wat is het doel van NGate malware?
Malware wordt voornamelijk gebruikt voor winst en op basis van zijn functionaliteiten - NGate is daarop geen uitzondering. Andere motivaties achter malware-infecties zijn aanvallers op zoek naar amusement, persoonlijke wrok, hacktivisme en politieke/geopolitieke redenen.
Hoe heeft NGate malware mijn Android toestel geïnfiltreerd?
NGate wordt verspreid via smishing en social engineering (d.w.z. aanvallers instrueren slachtoffers via een telefoongesprek). Andere methoden zijn mogelijk. Over het algemeen wordt malware verspreid via spam (bijv. sms'jes, PM's/DM's, e-mails, berichten op sociale media), online oplichting, drive-by downloads, verdachte bronnen (bijv. websites van freeware en derden, P2P-sharingnetwerken, enz.), illegale inhoud, illegale softwareactiveringstools ("cracks") en nepupdates. Bovendien kunnen sommige schadelijke programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan essentieel is, omdat high-end kwaadaardige software zich meestal diep in systemen verstopt.
Uitmuntend!
▼ Toon discussie