image

Android- en iOS-malware maakt gezichtsopname slachtoffers voor bankfraude

donderdag 15 februari 2024, 12:00 door Redactie, 4 reacties

Onderzoekers hebben malware voor Android en iOS ontdekt die een gezichtsopname van slachtoffers maakt, waarmee vervolgens een deepfake wordt gecreëerd voor het plegen van bankfraude, zo meldt securitybedrijf Group-IB. De malware wordt GoldPickaxe genoemd en is in Thailand en Vietnam aangetroffen.

De Bank of Thailand kondigde vorig jaar maatregelen aan om fraude tegen te gaan. Thaise banken moeten voor het verhogen van de transactielimiet of uitvoeren van transacties vanaf 1300 euro een biometrische controle uitvoeren, zoals een gezichtsscan. De makers van de GoldPickaxe-malware hebben hiervoor een oplossing bedacht.

Infectiemthode

De eerste stap in de aanval is het infecteren van Androidtelefoons en iPhones. Hiervoor doen de oplichters zich voor als de Thaise overheid en sturen sms-berichten of bellen slachtoffers op. Vervolgens wordt gevraagd om de communicatie via de Line-chatapp voort te zetten. De aanvallers sturen het slachtoffer via de chatapp een link naar de malware. In het geval van Android wordt er gelinkt naar een website die op Google Play lijkt. Vervolgens moet het slachtoffer het malafide APK-bestand downloaden en installeren.

Voor het infecteren van iOS-gebruikers maakten de aanvallers eerst gebruik van Apples testplatform TestFlight. Daarmee is het mogelijk om apps buiten de Apple App Store om te installeren. Slachtoffers ontvangen een ogenschijnlijk onschuldige link die naar https://testflight.apple.com/join/ wijst. Door het gebruik van het Apple-domein zouden mensen kunnen denken dat het om een goedaardige app gaat. In werkelijkheid is het malware. Het lijkt erop dat Apple misbruik van TestFlight voor de verspreiding van de malware inmiddels heeft ontdekt, want de malafide apps zijn er niet meer te vinden, zo stellen de onderzoekers.

Daarop besloten de aanvallers een andere aanpak, waarbij ze slachtoffers zover weten te krijgen om een Mobile Device Management (MDM) profiel te installeren. Daarmee krijgen de aanvallers controle over de iPhone en kunnen zo met medewerking van het slachtoffer de uiteindelijke malware installeren, waarvan het slachtoffer denkt dat het om een legitieme app gaat.

Eenmaal actief kan de malafide app sms-berichten onderscheppen, maar ook om het identiteitsdocument van slachtoffers vragen. Tevens zal de malware het slachtoffer vragen om een video van zichzelf op te nemen. De opgenomen video wordt dan bij 'face-swapping artificial intelligence services' gebruikt voor het maken van deepfake video's. Via deze deepfake is het dan mogelijk om de bankcontrole te omzeilen en fraude te plegen, aldus Group-IB. Eerder gaf ook de Thaise politie een waarschuwing aan iPhone-gebruikers om geen malafide configuratieprofielen te installeren.

Reacties (4)
15-02-2024, 13:45 door Anoniem
quote]De aanvallers sturen het slachtoffer via de chatapp een link naar de malware. In het geval van Android wordt er gelinkt naar een website die op Google Play lijkt. Vervolgens moet het slachtoffer het malafide APK-bestand downloaden en installeren. [/quote]Vreemd. Staat het installeren vanaf een website anders dan Google Play niet uit?
15-02-2024, 15:36 door Erik van Straten
Door Anoniem:Staat het installeren vanaf een website anders dan Google Play niet uit?
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).

Maar omdat mensen soms sowieso (om verschillende redenen) sideloaden en de restrictie daarop vervolgens vergeten uit te zetten, of met enige social engineering ervan worden overtuigd dat ze het installeren uit andere bronnen toe moeten laten, vormt dit in veel gevallen geen belemmering.

Ook komt het voor dat schijnbaar legitieme apps zelf code "naladen" buiten de Google Play Store om. Zodra een app, ook al lijkt het bijv. om Chrome te gaan, plotseling om permissie voor een Accessibility Service (iets met "Toegankelijkheid") vraagt, zouden bij jou alle alarmbellen af moeten gaan.

Met "Accessibility Service"-permissie (vaak gecombineerd met Foreground Service) mag en kan die app alles op jouw smartphone dat jij kan en mag. D.w.z. uitlezen wat er op het scherm staat en invoer genereren, of jouw invoer wijzigen of blokkeren. En dus ook allerlei instellingen wijzigen (zichzelf nog meer permissies geven etcetera).

Voor slechtzienden of mensen met een andere (lichamelijke) beperking is het superhandig dat legitieme apps (met zulke nog-net-geen-root rechten) taken van hen kunnen overnemen (zoals voorlezen van tekst of gesproken tekst invoeren, of via een braille-keyboard), maar bloedlink als je (de makers van) zo'n app niet voor 100% kunt vertrouwen.
20-02-2024, 09:21 door musiman - Bijgewerkt: 20-02-2024, 09:21
Door Erik van Straten:
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).

Wat een onzin. Natuurlijk staat op Huawei smartphones ook de sideload functie standaard uit.
Gisteren, 17:28 door Erik van Straten
Door musiman:
Door Erik van Straten:
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).

Wat een onzin. Natuurlijk staat op Huawei smartphones ook de sideload functie standaard uit.

Dombo, ik reageerde op:
Door Erik van Straten:
Door Anoniem:Staat het installeren vanaf een website anders dan Google Play niet uit?
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).

Heb je niks beters te doen dan, na 5 dagen, met bullshit te reageren?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.