Nederlandse Androidgebruikers zijn het doelwit van malafide sms-berichten die naar malware linken. Eerder werden gebruikers in België, Duitsland en het Verenigd Koninkrijk al op dezelfde manier aangevallen. De berichten lijken afkomstig van DHL, DHL Express en UPS en stellen dat de ontvanger een pakket kan volgen door de gelinkte app te installeren. In werkelijkheid gaat het om de FluBot- en Anatsa-malware.
FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.
In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen. Ook de Anatsa is ontwikkeld om creditcardgegevens te stelen en bankfraude te plegen.
"Wanneer u de app installeert, kan de oplichter namens uw nummer in grote aantallen aan willekeurige mensen valse sms-berichten versturen met de kwaadaardige link. Ook kan de app vanuit uw toestel belkosten en andere kosten maken die u terugziet op de telefoonrekening", zo waarschuwt de Fraudehelpdesk. De organisatie adviseert slachtoffers die besmet zijn om zo snel mogelijk contact op te nemen met de provider en telefoonaanbieder om verdere schade te voorkomen.
"Deze Android malware heeft tot doel je bankrekening leeg te trekken of je creditcardgegevens te stelen", schrijft Huub Roem, forensisch it-expert bij ING, op LinkedIn. "Als je zo'n SMS ontvangt weet je 2 dingen: 1. De afzender van de ontvangen SMS heeft een Android smartphone en is ook geïnfecteerd met een valse DHL app. 2. Een Android smartphone van één of meerdere van je relaties heeft jouw telefoonnummer in zijn/haar adresboek staan en heeft de valse DHP app ook geïnstalleerd."
Securitybedrijf ThreatFabric laat aan Security.NL weten dat het infecties in Nederland met duizenden ziet toenemen. Uit een screenshot dat het bedrijf met Security.NL deelde blijkt dat de Anatsa-malware allerlei Nederlandse bank-apps kan aanvallen. KPN liet onlangs weten dat slachtoffers van FluBot, door de malafide sms-berichten die de malware verstuurt, met een hogere telefoonrekening te maken kunnen krijgen. In het geval van een met Anatsa of FluBot besmet Androidtoestel wordt gebruikers aangeraden een fabrieksreset uit te voeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.