image

Nederlandse internetbankierders doelwit Trojaans paard

woensdag 18 december 2013, 15:28 door Redactie, 9 reacties

Nederlandse consumenten zijn al maanden het doelwit van een Trojaans paard dat geld van online bankrekeningen probeert te stelen, onder andere door het infecteren van de smartphone die mobiele TANcodes ontvangt. Het gaat om de Qadars banking Trojan, voor het eerst ontdekt in mei.

75% van de computers die deze Trojan infecteerde bevindt zich volgens anti-virusbedrijf ESET in Nederland. Naast Nederland zijn er besmettingen in Frankrijk, Italië, Canada, India en Australië waargenomen. ESET noemt Qadars opmerkelijk, omdat het na zes maanden nog steeds zeer actief is en zich op specifieke regio's in de wereld richt. Zo waren Nederlandse internetbankierders gedurende de gehele monitoringsperiode het doelwit.

Daarnaast gebruikt het de Android Perkele-malware om twee-factor authenticatiesystemen van de banken te omzeilen. De malware bestaat al sinds mei, maar de eerste echte campagne vond eind juni plaats. Er verschijnen ook steeds nieuwe versies van de banking Trojan. De eerste versie had als serienummer 1.0.0.0, inmiddels is versie 1.0.2.7 verschenen.

Qadars werkt hetzelfde als de beruchte Zeus banking Trojan, waarvan een deel van de code door Qadars is geleend. De malware plaatst zich in de browser, tussen het slachtoffer en de bank. Vervolgens wordt er allerlei content op de bankpagina geïnjecteerd, ook 'webinjects' genoemd, die bedoeld zijn om allerlei gegevens te onderscheppen of aan te passen.

Android

Sommige van deze 'webinjects' vragen om extra informatie als de gebruiker wil inloggen, terwijl andere webinjects complexer zijn en automatisch transacties kunnen uitvoeren, waarbij de twee-factor authenticatie van de banken wordt omzeild. Hiervoor moet de malware een sms-bericht met een mobiele TANcode onderscheppen. De malware doet dit door de bankpagina die lokaal op de computer verschijnt aan te passen en van een bericht te voorzien dat de gebruiker oproept om een 'security-app' te installeren.

Dit is de Android Perkele-malware, die na installatie op de smartphone alle inkomende sms-berichten onderschept en doorstuurt, waaronder de mobiele TANcode, waardoor de criminelen de frauduleuze transactie kunnen afronden. Naast Android ondersteunt Perkele ook BlackBerry en Symbian, maar in het geval van Qadars wordt alleen het Android-component gebruikt.

Browser

Vooralsnog kan de malware zich alleen in Internet Explorer en Firefox injecteren, hoewel er ook aanwijzingen zijn dat er een versie voor Google Chrome in ontwikkeling is. Hoe de malware zich van mei tot en met oktober verspreidde is onbekend. Er zijn echter aanwijzingen dat Qadars door andere malware werd geïnstalleerd die de computer al had geïnfecteerd.

Vanaf november wordt de banking Trojan verspreidt via de Nuclear Exploitkit. Deze kit maakt misbruik van bekende beveiligingslekken in populaire software die niet door gebruikers zijn gepatcht. Wie zijn software up-to-date houdt kan infectie via de Nucleair Exploitkit voorkomen.

Image

Reacties (9)
18-12-2013, 16:06 door [Account Verwijderd]
[Verwijderd]
18-12-2013, 16:22 door Spiff has left the building
Door Ubuntu, 16:06 uur:

schandalig!

Heeft dat nut, zo'n reactie?
18-12-2013, 16:45 door [Account Verwijderd] - Bijgewerkt: 18-12-2013, 16:45
[Verwijderd]
18-12-2013, 16:54 door Anoniem
Daarom doe ik nooit bankzaken op mijn mobiel,dat is veel minder veilig dan via een goede internetbeveiliging.
18-12-2013, 17:13 door [Account Verwijderd]
[Verwijderd]
18-12-2013, 19:36 door Anoniem
schandalig !
18-12-2013, 19:38 door Anoniem
Wat ik graag zou willen weten hoe je er achter kunt komen of je besmet bent dit Trojaanse paard, en hoe je er ook van af komt?
18-12-2013, 23:43 door Anoniem
Door Ubuntu:
Door Spiff:
Door Ubuntu, 16:06 uur:

schandalig!

Heeft dat nut, zo'n reactie?

nee, de jouw voegt iets toe...
Tsk tsk... Laten we eens bij het begin beginnen, wat is er precies schandalig?
Dat banken apps uitgeven voor Android telefoons?
Dat er nog met TAN-codes gewerkt wordt?
Dat dit soort malware slecht gedetecteerd wordt door AV's?
Dat mensen zo "slim" zijn om overal en nergens op "OK" te drukken?
Of dat er malware is die van bovenstaande zaken misbruik maakt?
En wat is er dan zo schandalig aan t.o.v. andere banking-trojans?
19-12-2013, 06:58 door Lex Borger
Door Anoniem: Daarom doe ik nooit bankzaken op mijn mobiel,dat is veel minder veilig dan via een goede internetbeveiliging.

Het gaat hier over internetbankieren. Bij mobiel bankieren wordt geen TANcode gebruikt, dus dat is op deze manier niet kwetsbaar... Daarom doe ik wel bankzaken op mijn mobiel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.