image

ING-klanten doelwit van Androidmalware

vrijdag 12 juni 2015, 12:38 door Redactie, 13 reacties
Laatst bijgewerkt: 12-06-2015, 17:02

ING heeft klanten met een Androidtoestel gewaarschuwd voor een phishingaanval waarbij wordt geprobeerd om Androidmalware te installeren. De phishingmail die nu rondgaat vraagt ING-klanten om hun inloggegevens, alsmede hun telefoonnummer. Daarnaast bevat het bericht een link die een frauduleuze app genaamd "ING Protect Service" probeert te installeren.

Via de kwaadaardige app kunnen de criminelen achter de aanval geld van de bankrekening stelen, zo waarschuwt de bank. In de phishingmail wordt gesteld dat het account van de gebruiker onrechtmatig zou worden gebruikt. De bank zou daarop de TAN-functie tijdelijk hebben geblokkeerd. Om de blokkade op te heffen moet de gebruiker op de meegestuurde link klikken.

In het geval gebruikers op de link hebben geklikt, hun gebruikersnaam en wachtwoord hebben ingevuld en ook de app hebben geïnstalleerd, adviseert ING om de kwaadaardige app te verwijderen, zowel gebruikersnaam als wachtwoord te wijzigen en bij- en afschrijvingen nauwkeurig te controleren. Onlangs liet het hoofd beveiliging bij ING nog weten dat mobiele apps niet interessant voor cybercriminelen waren.

Update 17:02

Beveiligingsbedrijf DearBytes analyseerde de malware, die belhistorie, sms, contact en browsergeschiedenis kan opvragen, alsmede de microfoon en camera kan inschakelen. Het blijkt om een exemplaar van DroidJack te gaan, een remote access trojan (RAT) die voor 210 dollar wordt aangeboden. De onderzoekers verstuurden TAN-codes en sms-berichten naar het besmette toestel, maar er kon niet worden vastgesteld of die ook werden doorgestuurd. Dat zou mogelijk door de gebruikte Android-emulator kunnen komen, die door de malware werd gedetecteerd. Wel blijkt de malware met een Nederlandse server te communiceren.

Image

Reacties (13)
12-06-2015, 12:48 door Anoniem
Was het niet eerder deze week ING die zei dat de mobile malware niet economisch was?
12-06-2015, 12:52 door Anoniem
Euhhhh https://www.security.nl/posting/431645/ING%3A+mobiel+bankieren+apps+niet+interessant+voor+crimineel ?????
12-06-2015, 13:59 door Anoniem
Standaard Phising mail (ik had er ook 2). Je bent wel een enorme sukkel als je daar intrapt.
12-06-2015, 14:34 door Anoniem
Zie net een analyse van de malware voorbij komen: https://www.dearbytes.com/blog/phishing-via-mobiele-malware/
12-06-2015, 14:43 door Anoniem
lol inderdaad. Dat soort dingen kunnen ze ook beter niet gaan roepen. Iets met slapende honden die wakker gemaakt worden.
12-06-2015, 15:17 door Anoniem
Het gaat om een aanval op internetbankieren (omzeilen SMS-signing)
12-06-2015, 16:48 door Anoniem
"ING-klanten doelwit van Androidmalware"

Goh..

http://www.nu.nl/mobiel/4067242/ing-begint-in-zomer-met-contactloos-betalen-via-android-smartphone.html
12-06-2015, 17:40 door Anoniem
Door Anoniem: Euhhhh https://www.security.nl/posting/431645/ING%3A+mobiel+bankieren+apps+niet+interessant+voor+crimineel ?????
Precies, ik dacht hetzelfde.

Of kwam dat nieuws uit de development hoek van ING omdat de board of directors eerder naar dit soort nieuwsberichten kijkt voor funding van de ontwikkelaars dan luisterd naar de rapporten van de security afdeling?
12-06-2015, 22:01 door karma4
Door Anoniem:
Door Anoniem: Euhhhh https://www.security.nl/posting/431645/ING%3A+mobiel+bankieren+apps+niet+interessant+voor+crimineel ?????
Precies, ik dacht hetzelfde.

Of kwam dat nieuws uit de development hoek van ING omdat de board of directors eerder naar dit soort nieuwsberichten kijkt voor funding van de ontwikkelaars dan luisterd naar de rapporten van de security afdeling?

Je durft het haast niet uit te spreken. Je hebt gelijk dat de beslissers eerder naar de marketeers en andere mooipraters luisteren dan naar de kritische noten van andere specialisten zoals de security mensen. Die zijn immers lastig en alleen maar storend voor de snelle voortgang. Dat is de gangbare houding.
12-06-2015, 22:01 door karma4
Door Anoniem:
Door Anoniem: Euhhhh https://www.security.nl/posting/431645/ING%3A+mobiel+bankieren+apps+niet+interessant+voor+crimineel ?????
Precies, ik dacht hetzelfde.

Of kwam dat nieuws uit de development hoek van ING omdat de board of directors eerder naar dit soort nieuwsberichten kijkt voor funding van de ontwikkelaars dan luisterd naar de rapporten van de security afdeling?

Je durft het haast niet uit te spreken. Je hebt gelijk dat de beslissers eerder naar de marketeers en andere mooipraters luisteren dan naar de kritische noten van andere specialisten zoals de security mensen. Die zijn immers lastig en alleen maar storend voor de snelle voortgang. Dat is de gangbare houding.
14-06-2015, 11:31 door hansv
Er is een fundamenteel verschil tussen mobiele apps (nu nog niet interessant genoeg om aan te vallen) en deze aanval middels phishing (deze kan je op ieder device overkomen). De mobiele app gebruikt geen TAN codes; de bank vraagt nooit om je persoonlijk info. Als je toch bankiert met een browser (via pc) dan kun je last hebben van malware (MiTM), Beter is het om alleen de mobiele app te gebruiken en al die mails etc gewoon te negeren.
15-06-2015, 10:19 door Anoniem
Door Anoniem: Standaard Phising mail (ik had er ook 2). Je bent wel een enorme sukkel als je daar intrapt.
Ach, klopt eendeels. Maar als mijn 85 jarige moeder mij belt of ze iets moet doen met deze mail (bang dat ze anders geblokkeerd wordt), dan ben ik bang dat er toch veel mensen zijn die hier toch mee in zee gaan.
04-06-2016, 02:45 door Anoniem
Even een bump wegens een nieuwe versie, nu via e-mail:

E-Mail 3 juni 2016, header & bron

Return-Path: <klantenservice@ing.nl>
Received: from XXX.XXX.XXX ([192.168.13.79])
by viefep24-int.XXX.XX
(InterMail vM.8.01.05.21 201-2260-151-156-20141103) with ESMTP
id <20160601092913.CKPC12975.viefep24-int.XXX.XX@XXX.XXX.XXX>
for <XXX@XXX.XX>;
Wed, 1 Jun 2016 11:29:13 +0200
Received: from TRANSIP-VPS ([37.97.194.179])
by XXX.XXX.XXX with edge
id 1MTk1t0383siK1x09MVATu; Wed, 01 Jun 2016 11:29:12 +0200
X-SourceIP: 37.97.194.179
Received: from [37.97.194.179] ([127.0.0.1]) by TRANSIP-VPS with Microsoft SMTPSVC(8.5.9600.16384);
Wed, 1 Jun 2016 11:28:09 +0200
Content-Type: multipart/alternative; boundary="===============2056797079=="
MIME-Version: 1.0
Subject: Let op: laatste herinnering
To: Recipients <klantenservice@ing.nl>
From: "ING Bank N.V." <klantenservice@ing.nl>
Date: Wed, 01 Jun 2016 11:28:09 +0200
X-Mailer: MIME::Lite 2.117 (F2.6; B2.12; Q2.03)
Return-Path: klantenservice@ing.nl
Message-ID: <TRANSIP-VPSJSFsxf4y000000d3@TRANSIP-VPS>
X-OriginalArrivalTime: 01 Jun 2016 09:28:09.0471 (UTC) FILETIME=[E932B8F0:01D1BBE7]
X-Antivirus: avast! (VPS 160603-1, 03-06-2016), Inbound message
X-Antivirus-Status: Clean

<HTML><head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title> </title>
<style type="text/css">
<!--
body,td,th {
font-family: Arial, Helvetica, sans-serif;
font-size: 12px;
}
-->
img
{ border-style: none;
}
div.MsoNormal {mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;}
li.MsoNormal {mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;}
p.MsoNormal {mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;}
</style></head>

<body><TABLE width=753 border=0>
<TBODY>
<TR>
<TD height=58 width=747>
<DIV align=right><IMG src="cid:embedding-0" width=128 height=51></DIV></TD></TR>
<TR>
<TD><IMG src="cid:embedding-1" width=750 height=5></TD></TR>
<TR>
<TD height=506 vAlign=top><BR>
<TABLE width=719 border=0>
<TBODY>
<TR>
<TD height=459 vAlign=top>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">Geachte Mijn ING klant, <O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN><BR>Als gevolg van vernieuwingen in ons online veiligheidsprotocol welke op 1 januari 2016 zijn ingevoerd, is het vereist dat elke gebruiker van Mijn ING één keer per jaar online een verificatie formulier invult. Onlangs eerdere verzoeken is gebleken dat u hier nog niet aan heeft voldaan. <BR><STRONG><U><BR>Wij verzoeken u hier zo snel mogelijk aan te voldoen.</U></STRONG> <BR><BR>Mocht dit op Zaterdag 4 juni 2016 nog niet zijn gebeurt, dan zijn wij genoodzaakt uw rekeningen en bijbehorende betaalpassen tijdelijk te blokkeren. Bij voorbaat verontschuldigen wij ons voor de overlast die u dan zult ondervinden.<BR>U kunt het verificatie formulier via de onderstaande link invullen. <BR>Het invullen kost u maximaal 1 minuut. <BR><O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN><O:P></O:P><O:P></O:P><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><STRONG><A href="hxxp://www.gebruikers-controle.co.nf">Klik hier om uw account te verifiëren op de beveiligde website</A></STRONG></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">(of klik op de onderstaande knop om verder te gaan)<BR><BR><A href="hxxp://www.gebruikers-controle.co.nf"><IMG src="cid:embedding-2" width=152 height=25></A><BR><BR><V:SHAPETYPE id=_x0000_t75 coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f"><V:STROKE joinstyle="miter" /><V:FORMULAS><V:F eqn="if lineDrawn pixelLineWidth 0" /><V:F eqn="sum @0 1 0" /><V:F eqn="sum 0 0 @1" /><V:F eqn="prod @2 1 2" /><V:F eqn="prod @3 21600 pixelWidth" /><V:F eqn="prod @3 21600 pixelHeight" /><V:F eqn="sum @0 0 1" /><V:F eqn="prod @6 1 2" /><V:F eqn="prod @7 21600 pixelWidth" /><V:F eqn="sum @8 21600 0" /><V:F eqn="prod @7 21600 pixelHeight" /><V:F eqn="sum @10 21600 0" /></V:FORMULAS><V:PATH o:extrusionok="f" gradientshapeok="t" o:connecttype="rect" /><O:LOCK v:ext="edit" aspectratio="t" /></V:SHAPETYPE><V:SHAPE id=Picture_x0020_2 style="HEIGHT: 18.75pt; WIDTH: 120pt; VISIBILITY: visible; mso-wrap-style: square" o:spid="_x0000_i1025" type="#_x0000_t75"><V:IMAGEDATA src="m-ling_files/image001.gif" o:title="" /></V:SHAPE><O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P><BR>Wij hopen u hiermee voldoende te hebben geïnformeerd.&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">Bij voorbaat dank voor uw medewerking. <O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">Met vriendelijke groet, <O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">&nbsp;</P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">&nbsp;</P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">ING Bank N.V. <O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">Afdeling internetbankieren <O:P></O:P></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">&nbsp;</P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">&nbsp;</P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">&nbsp;</P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt"><SPAN><O:P>&nbsp;</O:P> </SPAN></P>
<P class=MsoNormal style="tab-stops: 45.8pt 91.6pt 137.4pt 183.2pt 229.0pt 274.8pt 320.6pt 366.4pt 412.2pt 458.0pt 503.8pt 549.6pt 595.4pt 641.2pt 687.0pt 732.8pt">Deze e-mail is afkomstig van ING Bank N.V., statutair gevestigd to Amsterdam, handelsregister nr. 33031431. <BR>ATTENTION: The information in this electronic mail message is private and confidential, and only intended for the addressee. Should you receive this messaae by mistake. you are hereby notified </P>
<P><SPAN style='FONT-SIZE: 10pt; FONT-FAMILY: "Arial",sans-serif'><BR>&nbsp;&nbsp;&nbsp; <O:P></O:P></SPAN></P>
<P><SPAN style='FONT-SIZE: 10pt; FONT-FAMILY: "Arial",sans-serif'><BR>&nbsp;&nbsp;&nbsp; <O:P></O:P></SPAN></P>
<P>&nbsp;</P></TD></TR>
<TR>
<TD height=20 vAlign=top>&nbsp;</TD></TR></TBODY></TABLE><BR></TD></TR>
<TR>
<TD height=43 vAlign=top><IMG alt="" src="cid:embedding-1" width=750 height=5></TD></TR>
<TR>
<TD height=25 vAlign=top>&nbsp;</TD></TR></TBODY></TABLE><br /> <table style="border-top: 1px solid #D3D4DE;">
<tr>
<td style="width: 55px; padding-top: 18px;"><a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><img src="https://ipmcdn.avast.com/images/2016/icons/icon-envelope-tick-round-orange_184x116-v1.png" height="29px" /></a></td>
<td style="width: 470px; padding-top: 17px; color: #41424e; font-size: 13px; font-family: Arial, Helvetica, sans-serif; line-height: 18px;">Virusvrij. <a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank" style="color: #4453ea;">www.avast.com</a> </td>
</tr>
</table>
</BODY></HTML>
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.