Android-bankmalware verspreid via fake Google Play Store en winactie
Aanvallers hebben een fake Google Play Store en winactie gebruikt voor het verspreiden van malware die Androidtelefoons infecteert om zo bankfraude te plegen. De aanvallen zijn vooralsnog alleen in Oostenrijk waargenomen, meldt securitybedrijf Cleafy. De malware wordt Albiriox genoemd en combineert twee verschillende aanvalsvectoren. Als eerste kan de malware overlays over bank-apps en cryptowallets tonen. Dit zijn phishingvensters die lijken op een inlogscherm. Gegevens die hier worden ingevuld gaan naar de aanvallers.
Daarnaast biedt de malware de mogelijkheid om Androidtelefoons via VNC op afstand volledig over te nemen. Vervolgens kan de aanvaller vanaf de besmette telefoon frauduleuze transacties uitvoeren. Om slachtoffers niets te laten vermoeden beschikt de malware over de mogelijkheid om een overlay-scherm te tonen terwijl deze transacties worden uitgevoerd. Zo kan de malware een updatescherm tonen, terwijl in werkelijkheid de aanvallers op dat moment de controle over het toestel overnemen. Volgens de onderzoekers ondersteunt de malware meer dan vierhonderd bank- en crypto-apps.
Voor de verspreiding van Albiriox werd in eerste instantie gebruikgemaakt van sms-berichten die naar een nagemaakte Google Play Store linkten. Op deze fake pagina werd een zogenaamde applicatie van discountsupermarkt Penny aangeboden. In werkelijkheid was het aangeboden APK-bestand een dropper die uiteindelijk de Albiriox-malware installeert.
Bij nieuwere aanvallen hebben de aanvallers een zogenaamde winactie gemaakt die zou zijn opgezet door supermarkt Penny. De actiepagina claimt dat gebruikers een cadeaubon om te tanken kunnen winnen, waarbij er ook een 'rad van fortuin' moet worden gedraaid. Om de zogenaamde cadeaubon te ontvangen moeten slachtoffers hun telefoonnummer opgeven. Vervolgens verschijnt de boodschap dat de cadeaubon via WhatsApp wordt verstuurd en dat een medewerker van de supermarkt contact zal opnemen over hoe de cadeaubon is te gebruiken. Mogelijk dat slachtoffers vervolgens worden gebeld, maar dat laat Cleafy niet in de analyse weten.
Afbeelding van zogenaamde winactie
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?