Androidmalware onderschept 2FA-codes Duitse banken
Onderzoekers waarschuwen voor Androidmalware die tweefactorauthenticatie (2FA)-codes van banken onderschept voor het uitvoeren van bankfraude. De malware wordt door onderzoekers van IBM "TrickMo" genoemd, wat een verwijzing naar Trickbot Mobile is.
De aanval begint namelijk met een infectie van de computer door Trickbot. Deze malware wordt weer door de Emotet-malware geïnstalleerd, die van documenten met kwaadaardige macro's gebruikmaakt. Zodra Trickbot op de computer actief is wacht die totdat de gebruiker wil internetbankieren. Vervolgens injecteert de malware op de banksite een extra veld dat om het mobiele telefoonnummer en toesteltype vraagt.
Wanneer de gebruiker aangeeft dat hij van een Androidtoestel gebruikmaakt ontvangt hij een bericht om een "security-app" te installeren. In werkelijkheid gaat het om de TrickMo-malware. Deze malware onderschept TAN-codes die via sms worden verstuurd, alsmede one-time passwords (OTP) die via push notificaties worden ontvangen. De malware heeft op de computer al de gegevens onderschept om toegang tot de bankrekening te krijgen, maar veel banken maken gebruik van 2FA-codes voor het bevestigen van transacties. Die worden door TrickMo onderschept.
De Androidmalware maakt hiervoor misbruik van de accessibility service van Android, waarvoor het de gebruiker toestemming vraagt. Deze service is oorspronkelijk ontwikkeld door Google voor mensen met beperkingen. TrickMo gebruikt deze service om onder andere de standaard sms-app te worden, actieve applicaties te monitoren en tekst op het scherm te schrapen, of bepaalde "taps" uit te voeren. Zo kan de malware bepaalde keuzes in naam van de gebruiker maken, nog voordat die de kans heeft om te reageren.
"De feature die TrickMo onderscheidt van andere sms-stelers is de mogelijkheid om het scherm op te nemen wanneer bepaalde apps draaien", zegt onderzoeker Pavel Asinovsky. Deze feature is vooralsnog alleen waargenomen in TrickMo-versies die het op Duitse banken hadden voorzien die gebruikmaken van een speciale app voor TAN-gebaseerde 2FA. Op deze manier kan de malware het gebruik van pushTAN-codes door banken omzeilen.
Nadat de malware het OTP of de mobiele TAN-code heeft gestolen schakelt TrickMo de schermvergrendeling in en voorkomt dat de gebruiker toegang tot het toestel heeft. Dit moet de malware meer tijd geven voor het legen van de bankrekening.
Android OS = malware = Spyware
Android = malware = Spyware
Is het ongeveer duidelijk?
1. Gebruiker moet een met een macro 'besmet' office document activeren
2. Gebruiker moet op de PC gaan internetbankieren
3. Gebruiker moet op de PC extra informatie invullen die anders niet gevraagd wordt (tel.nr. en OS type)
4. Gebruiker moet op de telefoon, een onbekende SMS openen
5. Gebruiker moet op de telefoon een app installeren buiten de Google Play store om
6. Gebruiker moet waarschuwing van Android wegklikken dat er een app geinstalleerd gaat worden buiten de Google Play store om
7. Gebruiker moet die vreemde app daadwerkelijk openen
8. Gebruiker moet die app vervolgens toestemming geven voor de accessibility services
9. In de tussentijd moet de gebruiker niet al ingelogd zijn op de bankieren site
10. In de de tussentijd moet de gebruiker niet al een ander SMS of Whatsapp bericht ontvangen hebben
11. Als dat alles lukt, dan pas kan de malware haar werk doen.
Ja, mijn conclusie zou dan ook zijn dat Android lek is...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.