Come rimuovere GhostGrab dai dispositivi Android
TrojanConosciuto anche come: Malware bancario GhostGrab
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Cos'è GhostGrab?
GhostGrab è un malware Android a doppio scopo che ruba dati finanziari mentre utilizza segretamente i dispositivi infetti per minare criptovalute. Raccoglie credenziali bancarie, dati delle carte di credito e codici monouso (tramite SMS intercettati), impronte digitali dei dispositivi ed esegue un miner nascosto. Se rilevato su un dispositivo, GhostGrab deve essere eliminato il prima possibile.
GhostGrab in dettaglio
L'attacco ha inizio da un sito dannoso. Uno script presente su tale sito reindirizza automaticamente il browser e lo induce a scaricare un APK dannoso. L'APK scaricato è il dropper, la prima fase utilizzata per iniettare altro malware nel dispositivo della vittima. Il dropper inganna gli utenti con una finta schermata di "Aggiornamento" per ottenere il permesso di installare app direttamente (anziché tramite Google Play).
Carica una pagina web remota all'interno di un WebView e simula un dispositivo iOS, che può essere utilizzato per il phishing o per visualizzare annunci pubblicitari dannosi. Il malware si registra anche su Firebase per ricevere comandi remoti. Infine, avvia un miner Monero, che consente ai criminali informatici di utilizzare il dispositivo come miner di criptovaluta.
Modulo di furto bancario
Inoltre, il dropper di GhostGrab inietta un payload banking stealer. Questo modulo è in grado di leggere e acquisire notifiche (compresi i codici monouso), disattivare o modificare la modalità silenziosa, effettuare chiamate telefoniche, eseguire servizi nascosti e leggere, copiare e modificare file e contenuti multimediali sul dispositivo.
Inoltre, il modulo bancario può visualizzare notifiche false o fuorvianti, accedere a foto, video e file audio, leggere gli ID dei dispositivi e i dettagli del telefono e leggere i messaggi di testo memorizzati. Può anche intercettare i messaggi SMS in arrivo (come gli OTP) e inviare messaggi di testo. Il malware si nasconde in modo da non apparire nel launcher del telefono e può funzionare silenziosamente in background.
GhostGrab può visualizzare pagine bancarie false e richiedere dati personali, quali nome, numero di telefono e numero di conto. Se l'utente seleziona l'opzione carta di debito, richiede il numero completo della carta, la data di scadenza, il numero CVV e il PIN del bancomat. Se l'utente sceglie l'internet banking, il malware richiede l'ID utente, la password di accesso e la password di transazione.
Ogni modulo presenta dati inseriti correttamente formattati, quindi l'autore dell'attacco ottiene informazioni accurate che può utilizzare per assumere il controllo degli account o rubare denaro. Il malware raccoglie tutte queste informazioni in un file di dati e lo carica su un database online (Firebase), consentendo all'autore dell'attacco di accedere a questi dettagli da remoto.
Rubatore di dati SIM
Inoltre, il malware può rubare informazioni sulle schede SIM e sulla rete mobile del dispositivo. Ciò include numeri di telefono, nome dell'operatore, numero di serie univoco della scheda SIM, slot in cui si trova ciascuna SIM, identificatori del dispositivo collegati alla rete mobile e altri dettagli relativi alla rete.
GhostGrab può anche intercettare tutti i messaggi di testo in arrivo. Copia il contenuto del messaggio, le informazioni del mittente e gli identificatori del dispositivo, quindi invia tali informazioni all'autore dell'attacco. Può anche inoltrare i messaggi direttamente al dispositivo dell'autore dell'attacco o inviarli a un numero specificato.
È fondamentale sottolineare che GhostGrab è in grado di cercare termini relativi alle operazioni bancarie, come "transazione" e "prelievo", nei messaggi, consentendo agli aggressori di monitorare i messaggi relativi alle operazioni bancarie e tracciare le transazioni.
Inoltre, il malware può abilitare o disabilitare l'inoltro delle chiamate su un dispositivo infetto. Compone codici speciali per inoltrare le chiamate in arrivo a un altro numero (quello dell'autore dell'attacco), nasconde questa operazione e può intercettare chiamate importanti, come quelle relative alle password monouso.
| Nome | Malware bancario GhostGrab |
| Tipo di minaccia | Malware Android, ladro di informazioni, miner di criptovalute |
| Nomi di rilevamento | Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aOZF), ESET-NOD32 (Una variante di Android/TrojanDropper.Agent.MUO), Kaspersky (HEUR:Trojan-Dropper. AndroidOS.Banker.bc), elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni sospette, l'utilizzo dei dati e della batteria aumenta in modo significativo, vengono visualizzati annunci pubblicitari intrusivi. |
| Metodi di distribuzione | Ingegneria sociale, siti web dannosi, applicazioni ingannevoli. |
| Danno | Furto di informazioni personali (messaggi privati, credenziali di accesso/password, ecc.), calo delle prestazioni del dispositivo, scaricamento rapido della batteria, riduzione della velocità di Internet, ingenti perdite di dati, perdite economiche, furto di identità. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
GhostGrab è un malware Android dannoso che si nasconde nel dispositivo, ruba informazioni sensibili e viene eseguito in background senza essere rilevato. Cattura dati personali, credenziali bancarie, messaggi SMS e dati SIM/di rete e può persino inoltrare chiamate o intercettare OTP. Utilizza inoltre il dispositivo per minare segretamente criptovalute per gli aggressori.
Altri esempi di Android stealer sono Klopatra, Datzbro e PhantomCard.
Come ha fatto GhostGrab a infiltrarsi nel mio dispositivo?
GhostGrab viene distribuito tramite un sito web dannoso che forza il download di un APK dropper nel browser e poi induce l'utente a installarlo. Le vittime vengono reindirizzate da una pagina dannosa tramite JavaScript, che scarica automaticamente un APK. Il dropper mostra quindi una finta schermata di "Aggiornamento" del Play Store per indurre gli utenti a installare payload nascosti al di fuori di Google Play.
Come evitare l'installazione di malware?
Installa sempre le app dal Google Play Store ufficiale o dai siti ufficiali e controlla le recensioni. Non cliccare sui link presenti in messaggi di testo, e-mail o post sui social sospetti. Aggiorna regolarmente il sistema operativo e le applicazioni. Utilizza Google Play Protect e un'app di sicurezza mobile affidabile.
Inoltre, evita di interagire con annunci pubblicitari, pop-up e link presenti su siti web sospetti.
Il malware richiede varie autorizzazioni (fonte: cyfirma.com):
GhostGrab mostra moduli falsi per acquisire i dati delle carte di debito (fonte: cyfirma.com):
Il malware presenta moduli falsi per ottenere i dati bancari online (fonte: cyfirma.com):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come ripristinare il browser web Chrome?
- Come eliminare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser nel browser web Firefox?
- Come ripristinare il browser web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "Modalità provvisoria"?
- Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare le impostazioni predefinite del sistema?
- Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?
Elimina la cronologia di navigazione dal browser Chrome:
Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.
Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".
Disattiva le notifiche del browser nel browser web Chrome:
Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.
Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.
Trova i siti web che inviano notifiche del browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).
Reimposta il browser web Chrome:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".
Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno cancellati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.
Elimina la cronologia di navigazione dal browser web Firefox:
Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.
Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".
Disattiva le notifiche del browser nel browser web Firefox:
Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".
Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".
Reimposta il browser web Firefox:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".
Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.
Disinstallare applicazioni potenzialmente indesiderate e/o dannose:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.
Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".
Avvia il dispositivo Android in "Modalità provvisoria":
La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.
Controlla l'utilizzo della batteria delle varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.
Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile in termini di energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato consumo della batteria potrebbe indicare che l'applicazione è dannosa.
Controlla l'utilizzo dei dati delle varie applicazioni:
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.
Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo elevato dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.
Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.
Installa gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del proprio dispositivo sia aggiornato.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.
Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.
Ripristina il sistema alle impostazioni predefinite:
Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.
È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.
Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
" Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disattiva le applicazioni che dispongono dei privilegi di amministratore:
Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.
Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.
Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".
Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo è stato infettato dal malware GhostGrab, devo formattare il mio dispositivo di archiviazione per eliminarlo?
GhostGrab può essere rimosso ripristinando le impostazioni di fabbrica del dispositivo, ma questo comporta anche la cancellazione di tutti i dati memorizzati. Prima di procedere, prova a eseguire una scansione del dispositivo con un'app antivirus affidabile come Combo Cleaner.
Quali sono i problemi più gravi che possono causare i malware?
Il malware può essere utilizzato per rubare dati personali, danneggiare i sistemi, crittografare i file, consentire agli aggressori l'accesso remoto, installare ulteriori strumenti dannosi e, in ultima analisi, causare perdite finanziarie, furti di identità, perdita di dati e altri problemi.
Qual è lo scopo di GhostGrab?
GhostGrab è progettato per rubare segretamente informazioni bancarie e personali dai dispositivi Android, intercettare messaggi e chiamate e avviare un miner di criptovaluta.
Come ha fatto GhostGrab a infiltrarsi nel mio dispositivo?
È probabile che il malware sia stato diffuso da un sito web dannoso che ha costretto il browser a scaricare un APK dropper e poi ti ha indotto con l'inganno a installarlo. Il dropper ha poi visualizzato una finta schermata di "Aggiornamento" del Play Store per costringerti a installare payload nascosti al di fuori di Google Play.
Combo Cleaner mi proteggerà dai malware?
Combo Cleaner è in grado di identificare e rimuovere la maggior parte dei malware conosciuti, ma le minacce più sofisticate potrebbero nascondersi in profondità nel sistema, rendendo necessaria una scansione completa del dispositivo.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione