image

Nederlandse Androidgebruikers doelwit van malafide sms-berichten

maandag 24 mei 2021, 10:25 door Redactie, 24 reacties

Nederlandse Androidgebruikers zijn het doelwit van malafide sms-berichten die naar malware linken. Eerder werden gebruikers in België, Duitsland en het Verenigd Koninkrijk al op dezelfde manier aangevallen. De berichten lijken afkomstig van DHL, DHL Express en UPS en stellen dat de ontvanger een pakket kan volgen door de gelinkte app te installeren. In werkelijkheid gaat het om de FluBot- en Anatsa-malware.

FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.

In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen. Ook de Anatsa is ontwikkeld om creditcardgegevens te stelen en bankfraude te plegen.

"Wanneer u de app installeert, kan de oplichter namens uw nummer in grote aantallen aan willekeurige mensen valse sms-berichten versturen met de kwaadaardige link. Ook kan de app vanuit uw toestel belkosten en andere kosten maken die u terugziet op de telefoonrekening", zo waarschuwt de Fraudehelpdesk. De organisatie adviseert slachtoffers die besmet zijn om zo snel mogelijk contact op te nemen met de provider en telefoonaanbieder om verdere schade te voorkomen.

"Deze Android malware heeft tot doel je bankrekening leeg te trekken of je creditcardgegevens te stelen", schrijft Huub Roem, forensisch it-expert bij ING, op LinkedIn. "Als je zo'n SMS ontvangt weet je 2 dingen: 1. De afzender van de ontvangen SMS heeft een Android smartphone en is ook geïnfecteerd met een valse DHL app. 2. Een Android smartphone van één of meerdere van je relaties heeft jouw telefoonnummer in zijn/haar adresboek staan en heeft de valse DHP app ook geïnstalleerd."

Securitybedrijf ThreatFabric laat aan Security.NL weten dat het infecties in Nederland met duizenden ziet toenemen. Uit een screenshot dat het bedrijf met Security.NL deelde blijkt dat de Anatsa-malware allerlei Nederlandse bank-apps kan aanvallen. KPN liet onlangs weten dat slachtoffers van FluBot, door de malafide sms-berichten die de malware verstuurt, met een hogere telefoonrekening te maken kunnen krijgen. In het geval van een met Anatsa of FluBot besmet Androidtoestel wordt gebruikers aangeraden een fabrieksreset uit te voeren.

Image

Reacties (24)
24-05-2021, 14:38 door Anoniem
Hoop maar niet dat ik 'n smsje krijg; het uitleggen waarom ik geen whatsapp gebruik is al onmogelijk gebleken. Laat staan dat ik bovenstaande moet uitleggen en adviseren om te resetten.

Daarnaast fijn van KPN dat ze direct actie ondernomen hebben zodat deze sms zich niet meer kan verspreiden. Dat is nog eens ware klantvriendelijkheid, oh wacht...
24-05-2021, 15:59 door Anoniem
Heel belangrijk is om alleen apps te installeren vanuit de officiële Playstore en nooit van Onbekende Bronnen (Unknown Sources). In de instellingen van Android kan je dit Uit of Aan zetten. Het moet UIT staan. Oudere versies van Android hebben één centrale instelling, nieuwere versies van Android hebben een instelling per app waarmee je de onbekende app zou kunnen downloaden en installeren. Daar moet overal staan "Niet toegestaan" (Not allowed).

Want voor de helderheid, het is niet de SMS zelf die je telefoon besmet (dus geen zorg als je zo een ontvangt, gewoon verwijderen), en ook niet de webpagina achter de link in de SMS, het is de app die ze je daar vragen om te installeren die het virus bevat. Als je die app installeert dan is je telefoon besmet en hebben ze volledig toegang en controle over je toestel.
24-05-2021, 18:15 door Anoniem
Door Anoniem:
..... Want voor de helderheid, het is niet de SMS zelf die je telefoon besmet (dus geen zorg als je zo een ontvangt, gewoon verwijderen), en ook niet de webpagina achter de link in de SMS, het is de app die ze je daar vragen om te installeren die het virus bevat. Als je die app installeert dan is je telefoon besmet en hebben ze volledig toegang en controle over je toestel.

Dus 3 handmatige stappen voor je besmet raakt? SMS openen, op weblink klikken, en app installeren.
Sorry, maar dan is het echt je eigen schuld.
Er moet al gezonde argwaan ontstaan als je niets hebt besteld, maar toch een bericht krijgt.
24-05-2021, 18:43 door Anoniem
High grade spyware en zeroclicks worden vaak afgeleverd via SMS RCE. Dit omdat zelfs "non-smartphones" er door geraakt kunnen worden.
24-05-2021, 20:25 door Anoniem
Ik heb deze sms ook ontvangen als iPhone gebruiker, maar meer dan een sms is het ook niet, er lijkt geen sprake te zijn van een rce maar gewoon een phishing linkje en een download die je zelf moet

Stelt niets voor dus zolang je niet zo dom bent om het te gaan installeren.
24-05-2021, 20:45 door Anoniem
Door Anoniem: Hoop maar niet dat ik 'n smsje krijg; het uitleggen waarom ik geen whatsapp gebruik is al onmogelijk gebleken. Laat staan dat ik bovenstaande moet uitleggen en adviseren om te resetten.

Daarnaast fijn van KPN dat ze direct actie ondernomen hebben zodat deze sms zich niet meer kan verspreiden. Dat is nog eens ware klantvriendelijkheid, oh wacht...
Ja, want we willen privacy en met rust gelaten worden en WhatsApp is gevaarlijk want privacy, dus moet de provider (wat er meer zijn dan KPN) alle sms'jes maar analyseren:-)
24-05-2021, 20:51 door Anoniem
En toch maar blijven volhouden dat bank zaken met een smartphone veiliger is dan met een computer.
Ik gebruik een computer waar ik alleen maar bankzaken en overheids zaken mee doe geen mail of iets
er op. Maar toch willen ze dat ik bank en overheids zaken moet doen met een smartphone of tablet, met
deze dingen heb ik geen controle over wat ik aan het doen ben, moet maar aannemen dat alles goed is.
Ik gruwel ervan om dat over een bepaalde tijd te moeten doen.
24-05-2021, 23:13 door Anoniem
Door Anoniem:
Door Anoniem:
..... Want voor de helderheid, het is niet de SMS zelf die je telefoon besmet (dus geen zorg als je zo een ontvangt, gewoon verwijderen), en ook niet de webpagina achter de link in de SMS, het is de app die ze je daar vragen om te installeren die het virus bevat. Als je die app installeert dan is je telefoon besmet en hebben ze volledig toegang en controle over je toestel.

Dus 3 handmatige stappen voor je besmet raakt? SMS openen, op weblink klikken, en app installeren.
Sorry, maar dan is het echt je eigen schuld.
Er moet al gezonde argwaan ontstaan als je niets hebt besteld, maar toch een bericht krijgt.

Vanuit de aanvaller gezien is het schieten met hagel. Genoeg mensen die zelf (of hun partner) regelmatig pakketjes laten bezorgen, waardoor het best te verwachten is dat je zo'n melding krijgt.
24-05-2021, 23:19 door Anoniem
Door Anoniem: En toch maar blijven volhouden dat bank zaken met een smartphone veiliger is dan met een computer..
Wat heeft dit met artikel te maken?
25-05-2021, 09:53 door Anoniem
Door Anoniem:
Door Anoniem:
..... Want voor de helderheid, het is niet de SMS zelf die je telefoon besmet (dus geen zorg als je zo een ontvangt, gewoon verwijderen), en ook niet de webpagina achter de link in de SMS, het is de app die ze je daar vragen om te installeren die het virus bevat. Als je die app installeert dan is je telefoon besmet en hebben ze volledig toegang en controle over je toestel.

Dus 3 handmatige stappen voor je besmet raakt? SMS openen, op weblink klikken, en app installeren.
Sorry, maar dan is het echt je eigen schuld.
Er moet al gezonde argwaan ontstaan als je niets hebt besteld, maar toch een bericht krijgt.

Jij doet duidelijk niets met crowdfunding op IndieGoGo of Kickstarter. Projecten lopen uit en soms word je verrast door een zending. Maar je hebt verder wel gelijk, hoor. Ik kopieer altijd tracking nummer en daarmee ga ik naar een tracking app od -website.
25-05-2021, 11:36 door Anoniem
Door Anoniem:
Door Anoniem: En toch maar blijven volhouden dat bank zaken met een smartphone veiliger is dan met een computer..
Wat heeft dit met artikel te maken?
Omdat als je geen gebruik maakt van de smartphone voor bankzaken en je een dergelijk
bericht krijgt de kans veel groter is dat men het niet vertrouwt. Het is maar een idee.
25-05-2021, 14:41 door Anoniem
Door Anoniem: En toch maar blijven volhouden dat bank zaken met een smartphone veiliger is dan met een computer. Ik gebruik een [zwaar beveiligde Linux desktop] computer waar ik alleen maar bankzaken en overheids zaken mee doe, maar geen mail of iets [anders] er op.

Je hebt groot gelijk:

Het komt ook geregeld voor dat er tijdens een opsporingsonderzoek DigiD-gegevens worden aangetroffen op servers van criminelen die via malware zijn gestolen. [...] Volgens Logius is het criminelen meestal niet zo zeer te doen om de inloggegevens van DigiD, maar vooral om de bankgegevens van gebruikers.

https://www.security.nl/posting/704839/Logius+verwijderde+13_000+DigiD-accounts+in+eerste+maanden+van+2021#reload
25-05-2021, 16:12 door Anoniem
Door Anoniem: En toch maar blijven volhouden dat bank zaken met een smartphone veiliger is dan met een computer.
Ik gebruik een computer waar ik alleen maar bankzaken en overheids zaken mee doe geen mail of iets
er op. Maar toch willen ze dat ik bank en overheids zaken moet doen met een smartphone of tablet, met
deze dingen heb ik geen controle over wat ik aan het doen ben, moet maar aannemen dat alles goed is.
Ik gruwel ervan om dat over een bepaalde tijd te moeten doen.

Een zwaar beveiligde computer vergelijken met een normale smartphone en dan die conclusie trekken. Ehhh nee.
Natuurlijk gaat men met die bewering uit van een normale windows-computer met een normale gebruiker.
25-05-2021, 19:37 door Anoniem
Natuurlijk gaat men met die bewering uit van een normale windows-computer met een normale gebruiker.
Als ik dan een normale laptop of desktop gebruik met win10 en gezond verstand lijkt mij nog veiliger te zijn dan in
dit geval een androïde. Nu ben ik weer mijn iPad en iPhone aan het update want een drive-by is mogelijk, dan kun
je toch niet meer verantwoorden dat die dingen zo veilig zijn.

maar geen mail of iets [anders] er op.
Dank anoniem wat ik schreef is natuurlijk onmogelijk om wat dan ook te doen met een computer, ik heb trouwens
gewoon win10 hier opzitten.
26-05-2021, 10:13 door Anoniem
Het is nog zo slecht niet dat nieuwe apps alleen via een officiële appstore kunnen geïnstalleerd worden.
Laat je third party app stores toe dan maak je drive by downloads van apps mogelijk.

Ik ben hier dus voorstander van het Apple model met slechts 1 app store, laat Apple de de rechtszaak tegen Fortnite alstublieft winnen.
26-05-2021, 11:37 door Anoniem
Een collega bij ons heeft ook zo'n bericht ontvangen, geopend, erop geklikt en de app geïnstalleerd (je vraagt je af waarom...).

Ondertussen heeft zijn telefoon een factory reset gekregen, dus als het goed is moet alles eraf zijn.

Maar.... op de telefoon stond het zakelijke mailadres gekoppeld met de zakelijke contacten. Tevens is er logischerwijs ook zakelijke communicatie via deze wijze gegaan.

Kan iemand mij uitleggen of hiervan een melding gemaakt moet worden bij de AP en of mijn collega dat in eigen persoon moet doen (het is zijn telefoon), of het bedrijf?
26-05-2021, 12:37 door Anoniem
Mijn smartphone heeft geen simkaart, alleen een wifi verbinding. De simkaart zit in een ouderwetse GSM toestel (zeg maar oude nokia voor alleen bellen). Op deze ouderwetse GSM kan je geen app's installeren. :)
26-05-2021, 12:52 door Anoniem
Dit is ondertussen ook al 'binnen gekomen' bij veel Apple iPhone gebruikers, dus niet alleen Android wordt hiermee geplaagd...
27-05-2021, 08:13 door Anoniem
Door Anoniem: Dit is ondertussen ook al 'binnen gekomen' bij veel Apple iPhone gebruikers, dus niet alleen Android wordt hiermee geplaagd...

De app die geïnstalleerd wordt is voor Android, niet voor Apple. Dus Apple gebruikers krijgen de SMS wel, maar de app kan niet geïnstalleerd worden.
27-05-2021, 10:49 door Anoniem
Door Anoniem:
Door Anoniem:
..... Want voor de helderheid, het is niet de SMS zelf die je telefoon besmet (dus geen zorg als je zo een ontvangt, gewoon verwijderen), en ook niet de webpagina achter de link in de SMS, het is de app die ze je daar vragen om te installeren die het virus bevat. Als je die app installeert dan is je telefoon besmet en hebben ze volledig toegang en controle over je toestel.

Dus 3 handmatige stappen voor je besmet raakt? SMS openen, op weblink klikken, en app installeren.
Sorry, maar dan is het echt je eigen schuld.
Er moet al gezonde argwaan ontstaan als je niets hebt besteld, maar toch een bericht krijgt.

Niet iedereen is in staat om even logisch na te denken. Ik kan me voorstellen dat iemand denkt dat het noodzakelijk is om een app te installeren. Het gevoel van nieuwsgierigheid is daarbij het probleem. Het is eenzelfde drang waardoor mensen verslaaft kunnen raken. Vele app's zijn erop ingericht om jou zo lang mogelijk bezig te houden en "misbruik" te maken van deze eigenschap.

De eerste stap is dan ook om te erkennen dat we nieuwsgierig zijn en dat dat gevoel er juist toe moet leiden om extra alert te worden en niet in de val te lopen. Dat staat altijd in conflict met het feit dat communicatie ook sterk afhankelijk is van elkaar kunnen vertrouwen.

De jeugd (les op school) zou hierin al vroeg moeten worden begeleid om echt van niet echt te kunnen onderscheiden.
27-05-2021, 14:18 door Anoniem
Ik ken iemand die deze malware misschien heeft gedownload ,wist het niet meer zeker. Avg laten scannen en vond wel iets met de naam Dhl er in... ,en op oplossen/verwijderen gedrukt, dus de vraag van mij is dat genoeg? ,is er geen goede virus scanner die dit virus kan vinden en verwijderen ? Of is een fabrieksreset echt nodig ?
27-05-2021, 21:05 door Anoniem
Door Anoniem:Of is een fabrieksreset echt nodig ?

Toch geklikt?

Neem dan zo snel mogelijk contact op met uw provider en telefoonaanbieder om verdere schade te voorkomen.

https://www.fraudehelpdesk.nl/alert/gevaarlijke-sms-berichten-koeriersdienst/

Er is er een zekere manier om er vanaf te komen: de telefoon terugzetten op de fabrieksinstellingen. "Dan ben je wel alles kwijt", waarschuwt de Fraudehelpdesk. "We raden mensen ook altijd aan om back-ups te maken van de gegevens op hun telefoon. Of anders een specialist erbij te halen."

https://nos.nl/artikel/2382466-politie-en-fraudehelpdesk-druk-met-android-malware-dit-is-iets-nieuws-iets-anders
30-05-2021, 15:23 door Anoniem
Kan je geinfecteerd zijn met het virus als je wel op de link hebt geklikt maar de app niet hebt geinstalleerd?
01-09-2021, 11:20 door Anoniem
Ik heb het vanochtend gehad. Daarop gedrukt omdat ik een pakje via DHL verwachtte en natuurlijk virus trojan op mijn telefoon gekregen en ik kon Dhl app niet meer verwijderen. Advies is om eerste naar veilige modus te gaan en daal Dhl app zo te verwijderen. Zo heb ik net gedaan en het is me helukt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.