Mendeteksi dan menghapus Spy Software di Android

Hanya dalam beberapa menit, seorang penyerang dapat menginstal aplikasi mata-mata di smartphone. Bagaimana untuk melindungi diri sendiri.

Hanya membutuhkan beberapa menit tanpa disadari oleh penyerang untuk menyembunyikan aplikasi mata-mata di smartphone Anda. Aplikasi berbahaya kemudian dapat mengirimkan data sensitif ke penyerang atau menginstal malware lainnya. Dengan hanya beberapa langkah sederhana, Anda dapat mengidentifikasi infeksi dan menghentikan pemantauan.

Periksa akses root

Jika Anda mencurigai bahwa seseorang memata-matai Anda, Anda harus terlebih dahulu memeriksa apakah ponsel Anda berakar. Karena pada ponsel berakar, seorang penyerang dapat menyembunyikan alat mata-mata dengan cara yang tidak dapat dideteksi dengan metode yang dijelaskan di sini - bahkan jika Anda telah melakukan root sendiri dengan alasan yang baik.

Find out if your device is rooted with Root Checker. In your case, the message "Congratulations!" means "Caution! Danger of contamination!"

Jelajahi perangkat Anda di Settings/Apps untuk alat yang secara tradisional digunakan untuk root. Ini termasuk SuperSu, BusyBox atau KingRoot. Anda juga dapat menggunakan aplikasi root checker gratis untuk memeriksa langsung apakah ponsel Anda berakar.

Paket mata-mata yang kami periksa, mSpy dan FlexiSpy, saat ini tidak menggunakan trik akar khusus untuk menyembunyikan diri mereka. Oleh karena itu, mereka juga akan dihapus dari langkah-langkah berikut pada sistem akar. Tapi itu bisa berubah dengan setiap pembaruan, dan penyerang Anda mungkin juga telah menginstal malware lain yang lebih baik disembunyikan. Akhirnya, Anda tidak bisa lagi mempercayai ponsel yang berakar.

Jika Anda mencurigai spionase, Anda memiliki dua pilihan: Pertama, Anda dapat reset pabrik perangkat, yang juga menghapus akses root dan mengembalikan fitur keamanan standar. Ponsel kemudian bersih lagi, tetapi mengatur sistem lagi sulit. Di sisi lain, Anda dapat memperbaiki sistem akar. Ini berarti banyak pekerjaan, tetapi Anda dapat mengetahui lebih akurat data apa yang dicuri oleh penyerang. Ini adalah ide yang baik untuk membawa seseorang yang berpengalaman dengan sistem akar.

Cara Menggunakan Admin Apps

Di bawah ini kami mengasumsikan bahwa perangkat Anda tidak berakar dan karena itu semua informasi diagnostik yang telah Anda tentukan dapat diandalkan. Pertama, periksa apa yang disebut aplikasi administrator perangkat, karena mereka mendapatkan sejumlah besar hak akses di Android. Anda dapat menemukan ini di pengaturan di bawah "Keamanan & lokasi / Aplikasi untuk manajemen perangkat", pada beberapa perangkat di bawah" Keamanan perangkat / pengaturan keamanan lainnya" atau serupa.

Di sini Anda biasanya hanya harus melihat "Temukan Perangkat Saya" (kadang-kadang disebut "Find My Device") dan "Google Pay" dan - tergantung pada penggunaan yang dimaksudkan dari telepon - manajemen perangkat seluler perusahaan Anda atau entri aplikasi email dengan Exchange -Access seperti "email" dari Nine. Jika Anda menemukan entri lain pada saat ini, ini adalah indikasi kuat dari infeksi. Hapus administrator perangkat yang mencurigakan - jika ada keraguan, semua dari mereka.

Namun, Anda hanya dapat menonaktifkan administrator perangkat di menu. Untuk menghapus, Anda harus uninstall aplikasi yang terkait. Tapi yang menjengkelkan, aplikasi diizinkan untuk menamai entri mereka di daftar administrator perangkat ini apa pun yang mereka inginkan, sehingga Anda tidak selalu tahu aplikasi mana yang datang dari. Misalnya, perangkat lunak mata-mata mSpy memasukkan "Update Service" di sini, FlexiSpy dengan "System Update". Beberapa aplikasi mata-mata menolak untuk uninstall selama Anda terdaftar sebagai administrator perangkat.

Bermain dengan Play Protect

Selanjutnya, periksa fitur keamanan built-in Android. Seorang penyerang akan mencoba untuk menonaktifkan mereka, karena fitur-fitur ini adalah apa yang sebagian besar malware mengenali. Dengan nama Play Protect, Android sekarang memeriksa semua aplikasi di perangkat, bahkan pada versi Android yang lebih lama. Cara termudah untuk menemukan Play Protect adalah di aplikasi Play Store di menu dengan tiga bar di sebelah kiri atas.

Opsi "Perangkat scan untuk ancaman keamanan" harus diaktifkan dan pemindaian terakhir tidak boleh lebih lama dari beberapa hari. Jika tidak, ini adalah indikasi yang jelas dari infeksi. Jika opsi kedua "Memperbaiki deteksi aplikasi berbahaya" di bawah ini diaktifkan, Play Protect mengunggah aplikasi yang tidak diketahui ke Google dan memungkinkan mereka untuk memindai mereka di awan. Meskipun fitur ini berguna, itu dinonaktifkan secara default dan karena itu tidak memberikan indikasi infeksi.

Android's built-in virus scanner must not be deactivated (left), the last check should not be too far back. The scanner recognizes common spy apps (right), even if they hide themselves as an "update service".

Aktifkan Play Protect dan Enhance dan, dengan akses Internet diaktifkan, jalankan pemindaian instan dari semua aplikasi dengan tombol reload di atas. Alat-alat mata-mata mSpy dan FlexiSpy diakui dan dapat dihapus tanpa meninggalkan sisa. Anda harus melakukan pemeriksaan tambahan berikut.

Blokir Aplikasi Pihak Ketiga

Karena pemindai Google Play Store mendeteksi banyak aplikasi mata-mata, mereka tidak tersedia di sana. Penyerang harus mengunggahnya ke smartphone sebagai file dan menginstalnya secara manual. Untuk melakukan ini, dia harus mematikan kunci yang biasanya melindungi terhadap aplikasi dari sumber pihak ketiga tersebut.

Pada Android yang lebih tua, Anda dapat menemukan kunci ini di pengaturan di bawah "Keamanan / Sumber Tidak Dikenal" atau serupa. Dengan Android saat ini tidak lagi ada kunci pusat, tetapi aplikasi individual seperti FileManager, Browser atau Dropbox, aplikasi pihak ketiga secara khusus diizinkan untuk menginstal aplikasi dari pihak ketiga. Anda dapat menemukan daftar aplikasi di pengaturan di bawah "Aplikasi & pemberitahuan / Akses aplikasi khusus / Tidak dikenal" atau serupa; tidak ada aplikasi yang harus mengatakan "diizinkan" di sini.

Dalam kedua kasus, kunci cacat berarti bahwa serangan mata-mata mungkin telah terjadi. Sebaliknya, blok yang diaktifkan bukanlah asuransi untuk sistem yang bersih, karena penyerang hanya dapat mengaktifkannya kembali setelah malware telah diinstal.

Mengontrol izin aplikasi

Dalam kasus kecurigaan, jangan mengandalkan Play Protect, tetapi periksa semua aplikasi yang diinstal. Untuk melakukan ini, buka item "Aplikasi izin" di pengaturan, biasanya ditemukan di bawah "App" atau "Apps & notifikasi" atau serupa, pada beberapa perangkat di menu tiga titik dari aplikasi yang ditampilkan di bagian atas kanan. Di sana Anda mengontrol aplikasi mana yang diizinkan untuk mengakses data pribadi.

Item Kontak, SMS, Kamera dan Lokasi tidak boleh berisi aplikasi apa pun yang belum Anda instal atau yang tidak Anda ketahui apa yang mereka lakukan. Uninstall aplikasi yang tidak diketahui, tetapi catat nama paket sebelumnya (juga untuk penghapusan berikut) sehingga Anda dapat memahami pekerjaan Anda. Jika beberapa aplikasi muncul dua kali dengan ikon kunci tambahan: Ini adalah dampak dari fitur non-kritik pada beberapa perangkat Samsung dan Xiaomi yang memungkinkan Anda untuk meluncurkan aplikasi dengan set konfigurasi kedua.

Kemudian memindai daftar semua aplikasi yang diinstal untuk aplikasi yang tidak diketahui atau mencurigakan. Tekan pada aplikasi mengungkapkan izin apa yang diminta oleh aplikasi. Dari ini, pengguna yang berpengalaman sering dapat melihat kecenderungan pertama apakah ada yang salah.

Namun, beberapa aplikasi yang tidak berbahaya juga meminta sejumlah besar izin - misalnya karena pengembang menggunakan pustaka yang mencurigakan untuk menampilkan iklan. Tidak menyenangkan, tetapi tidak kritis dari sudut pandang mata-mata, asalkan Anda sengaja menginstal aplikasi itu sendiri. Karena tidak mungkin bahwa aplikasi ini khususnya memiliki kerentanan nyata dan bahwa penyerang Anda akan mengeksploitasi itu. Di sisi lain, tidak menyakitkan untuk secara langsung menghapus semua aplikasi penting atau tidak digunakan lainnya sebagai bagian dari diagnosis ini.

Mengidentifikasi sumber yang mencurigakan

Hal ini juga penting untuk melihat sumber aplikasi, terutama jika Anda diizinkan untuk menginstalnya dari sumber eksternal. Versi Android yang lebih baru menunjukkan ini dalam tampilan rincian aplikasi ini di bawah izin. Ini mengatakan sesuatu seperti "App yang dimuat dari Google Play Store" (biasanya tidak kritis) atau "App dimuatkan dari Galaxy Apps" (preinstalled by Samsung). Di sisi lain, "aplikasi yang dimuat oleh installer paket" sangat mencurigakan; itu berasal dari sumber eksternal. Jika Anda tidak menginstal aplikasi sendiri untuk alasan yang baik: menyingkirkannya! Karena tidak semua smartphone menandai aplikasi pihak ketiga dengan jelas, pertama-tama lihat dengan cepat bagaimana aplikasi yang tidak mencurigakan ditandai.

Namun, Anda juga harus mendapatkan sejumlah alarm palsu, karena banyak produsen menginstal aplikasi yang artinya sama sekali tidak jelas, atau setidaknya tidak jelas dari nama. Aplikasi-aplikasi ini, yang tidak mencurigakan dari sudut pandang mata-mata, dapat dikenali oleh fakta bahwa tidak ada tombol uninstall di tampilan detail aplikasi dan sebaliknya Anda dapat paling tidak menonaktifkannya. Mereka umumnya tidak berbahaya kecuali malware telah diinstal dari pabrik atau oleh perantara.

Anda harus menemukan aplikasi mata-mata biasa dengan langkah-langkah ini dan melarang mereka dari sistem Anda. Jika Anda mencurigai bahwa penyerang yang lebih canggih berada di belakang Anda dengan malware yang lebih persisten yang diinstal, Anda harus melakukan reset pabrik – atau berkonsultasi dengan seorang ahli, karena ada juga perangkat lunak jahat yang bertahan dari reset atau yang berada di lurk firmware.

Melindungi Akun

Jika Anda takut serangan yang berhasil, tindakan lebih lanjut disarankan setelah membersihkan perangkat. Anda harus mengasumsikan bahwa akun Google Anda juga terpengaruh.

Anda dapat mengetahui perangkat mana yang menggunakan akun Google Anda dan kapan terakhir kali diakses di https://myaccount.google.com/device-activity. Hanya menghapus perangkat yang mencurigakan dengan mengklik "Hapus". Kemudian ubah password Anda. Kami juga menyarankan Anda untuk mengaktifkan Verifikasi 2 Langkah pada kesempatan ini.

Hal yang sama berlaku untuk semua layanan cloud lainnya yang Anda gunakan: Dropbox, Evernote, Facebook - dan, yang penting, internet banking yang digunakan dari smartphone Anda. Mengontrol akses, mengubah kata sandi jika ragu, mengaktifkan otentikasi dua faktor jika memungkinkan dan menghapus perangkat terdaftar yang mencurigakan.

Dengan WhatsApp, Signal dan beberapa pengirim pesan lainnya, ada perangkap tambahan: Mereka sekarang menawarkan opsi untuk menggunakan aplikasi melalui browser dan dengan demikian mengakses semua pesan dan foto. Setelah diinstal, akses tetap aktif bahkan setelah ponsel Anda dibersihkan. Anda dapat menemukan akses ini di WhatsApp di "WhatsApp Web", di Signal di "Penyambung Perangkat", di Threema di "Threema Web". Hapus mereka semua.

Reset ke pengaturan pabrik

Solusi terakhir - terutama jika perangkat berakar - adalah reset pabrik, yaitu reset lengkap ke pengaturan pabrik. Jika Anda berpikir perangkat Anda terinfeksi tanpa harapan dan bugged, hanya membuat perubahan kata sandi di atas setelah reset atau dari perangkat lain, jika tidak keylogger yang mungkin masih terinstal akan mempelajari password baru. Reset akan menghapus semua data dari ponsel, jadi pastikan untuk menyimpan semua yang penting, seperti foto, alamat, dan janji, dan catat elemen penting dari konfigurasi Anda.

Anda memulai reset dalam pengaturan di "Sistem / Reset Options / Eliminasi semua data", yang disebut "Pengelolaan Umum / Restorasi / Pemulihan Data Pabrik" atau serupa pada beberapa sistem.

Saat mengatur ulang ponsel, pastikan untuk mengaturnya sebagai "perangkat baru" dan tidak menginstal dari cadangan. Karena perangkat Anda dapat terinfeksi kembali langsung dari cadangan. Penting juga untuk diingat untuk memblokir akses ke perangkat, baik dengan sidik jari, wajah atau kata sandi, tetapi setidaknya dengan PIN empat atau lebih baik enam digit.