Nieuws

Androidmalware onderschept 2FA-codes Duitse banken

dinsdag 24 maart 2020, 16:55 door Redactie, 4 reacties

Onderzoekers waarschuwen voor Androidmalware die tweefactorauthenticatie (2FA)-codes van banken onderschept voor het uitvoeren van bankfraude. De malware wordt door onderzoekers van IBM "TrickMo" genoemd, wat een verwijzing naar Trickbot Mobile is.

De aanval begint namelijk met een infectie van de computer door Trickbot. Deze malware wordt weer door de Emotet-malware geïnstalleerd, die van documenten met kwaadaardige macro's gebruikmaakt. Zodra Trickbot op de computer actief is wacht die totdat de gebruiker wil internetbankieren. Vervolgens injecteert de malware op de banksite een extra veld dat om het mobiele telefoonnummer en toesteltype vraagt.

Wanneer de gebruiker aangeeft dat hij van een Androidtoestel gebruikmaakt ontvangt hij een bericht om een "security-app" te installeren. In werkelijkheid gaat het om de TrickMo-malware. Deze malware onderschept TAN-codes die via sms worden verstuurd, alsmede one-time passwords (OTP) die via push notificaties worden ontvangen. De malware heeft op de computer al de gegevens onderschept om toegang tot de bankrekening te krijgen, maar veel banken maken gebruik van 2FA-codes voor het bevestigen van transacties. Die worden door TrickMo onderschept.

De Androidmalware maakt hiervoor misbruik van de accessibility service van Android, waarvoor het de gebruiker toestemming vraagt. Deze service is oorspronkelijk ontwikkeld door Google voor mensen met beperkingen. TrickMo gebruikt deze service om onder andere de standaard sms-app te worden, actieve applicaties te monitoren en tekst op het scherm te schrapen, of bepaalde "taps" uit te voeren. Zo kan de malware bepaalde keuzes in naam van de gebruiker maken, nog voordat die de kans heeft om te reageren.

"De feature die TrickMo onderscheidt van andere sms-stelers is de mogelijkheid om het scherm op te nemen wanneer bepaalde apps draaien", zegt onderzoeker Pavel Asinovsky. Deze feature is vooralsnog alleen waargenomen in TrickMo-versies die het op Duitse banken hadden voorzien die gebruikmaken van een speciale app voor TAN-gebaseerde 2FA. Op deze manier kan de malware het gebruik van pushTAN-codes door banken omzeilen.

Nadat de malware het OTP of de mobiele TAN-code heeft gestolen schakelt TrickMo de schermvergrendeling in en voorkomt dat de gebruiker toegang tot het toestel heeft. Dit moet de malware meer tijd geven voor het legen van de bankrekening.

AP kijkt of Nederlandse autofabrikanten zich aan AVG houden

Minister: opt-in verplicht voor het delen van voertuigdata

Reacties (4)

24-03-2020, 17:20 door Erik van Straten

Sluw zeg. Nou maar hopen dat Google dit soort apps uit de Play Store weten te weren, en mensen zich niet laten overhalen om apps van buiten de Play Store te vertrouwen.

24-03-2020, 19:41 door Anoniem

Android OS Samsung = malware = Spyware
Android OS = malware = Spyware
Android = malware = Spyware

Is het ongeveer duidelijk?

25-03-2020, 10:07 door Anoniem

Heel Android is spyware en de reden waarom app ontwikkelaars het zo graag steunen en Windows phone niet.Normaal wil iedere ontwikkelaar concurrentie en meerdere plaatsen voor hun apps. Sinds Android wordt alleen dit systeem echt gesteund en andere om zeep geholpen. Apple was al te groot anders hadden ze dat ook kapot gemaakt.

26-03-2020, 09:06 door Anoniem

Dus:
1. Gebruiker moet een met een macro 'besmet' office document activeren
2. Gebruiker moet op de PC gaan internetbankieren
3. Gebruiker moet op de PC extra informatie invullen die anders niet gevraagd wordt (tel.nr. en OS type)
4. Gebruiker moet op de telefoon, een onbekende SMS openen
5. Gebruiker moet op de telefoon een app installeren buiten de Google Play store om
6. Gebruiker moet waarschuwing van Android wegklikken dat er een app geinstalleerd gaat worden buiten de Google Play store om
7. Gebruiker moet die vreemde app daadwerkelijk openen
8. Gebruiker moet die app vervolgens toestemming geven voor de accessibility services
9. In de tussentijd moet de gebruiker niet al ingelogd zijn op de bankieren site
10. In de de tussentijd moet de gebruiker niet al een ander SMS of Whatsapp bericht ontvangen hebben
11. Als dat alles lukt, dan pas kan de malware haar werk doen.

Ja, mijn conclusie zou dan ook zijn dat Android lek is...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer