image

Politie waarschuwt voor sms-berichten die Flubot-malware verspreiden

woensdag 14 juli 2021, 09:22 door Redactie, 20 reacties

De politie waarschuwt eigenaren van een Androidtelefoon voor sms-berichten die de Flubot-malware verspreiden. Volgens het bericht staat er een voicemailbericht voor de ontvanger klaar die via de meegestuurde link is te beluisteren. De link wijst naar een app die de gebruiker moet installeren om het voicemailbericht te kunnen beluisteren. Deze app, die buiten de Google Play Store wordt aangeboden, bevat de Flubot-malware.

Flubot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.

In het geval van bankapplicaties zal de Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.

"Het is belangrijk dat u alléén de originele apps op uw telefoon installeert (en gebruikt) vanuit de Google Play Store of de Apple App Store. Is u telefoon toch besmet? De enige manier om Flubot te verwijderen is om de smartphone terugzetten naar fabrieksinstellingen. Alle gegevens gaan dan wel verloren", zo laat de politie weten.

Die stelt verder dat Androidgebruikers meer kwetsbaar voor Flubot zijn. "Dat komt omdat het mogelijk is om buiten de Play Store van Google om, een applicatie te downloaden en te installeren. Voor iOS-gebruikers is het niet mogelijk om apps te installeren buiten de App Store van Apple om."

Slachtoffers van Flubot wordt opgeroepen om aangifte te doen. In mei waarschuwde de politie ook al voor malafide sms-berichten die Flubot probeerden te verspreiden. Deze berichten leken van DHL en UPS afkomstig en gingen over nog te ontvangen postpakketten.

Reacties (20)
14-07-2021, 09:46 door Anoniem
Ik verheug mij op de terugkeer van de Rabo Scanner en andere twee factor apparaatjes, want deze zijn te simpel om Flubot te kunnen draaien.
14-07-2021, 09:51 door Anoniem
Zou wel heel raar zijn om een applicatie te installeren om je voicemail terug te luistern ;-)
14-07-2021, 10:05 door Anoniem
"Het is belangrijk dat u alléén de originele apps op uw telefoon installeert (en gebruikt) vanuit de Google Play Store of de Apple App Store. Is u telefoon toch besmet? De enige manier om Flubot te verwijderen is om de smartphone terugzetten naar fabrieksinstellingen. Alle gegevens gaan dan wel verloren", zo laat de politie weten.

Nee, het is van de gekke dat anno 2021 SMS-berichten nog steeds actieve linkjes kunnen bevatten.

En dat mensen van alles uitvoeren en installeren, ook al kennen ze het niet.
Het wordt tijd voor een soort kinderslot voor volwassenen op al die apparaten.
14-07-2021, 10:31 door Anoniem
Eh wacht even, die berichten verspreiden HELEMAAL GEEN malware! Ik zou dit soort tekst verwachten in een krant,
maar niet op een security website.

Het is de GEBRUIKER die de malware ZELF INSTALLEERT nadat ie een SMS heeft ontvangen met opdrachten.
Je zou de gebruiker ook een brief kunnen sturen met die link erin en dan ga je ook niet schrijven "brief verspreidt malware".

Ik denk dat de omschrijving "sms berichten die malware verspreiden" gereserveerd moet worden voor de situatie waarin
de trigger voor de malware installatie daadwerkelijk in de sms zit, bijvoorbeeld als gevolg van een softwarefout in de
telefoon tijdens het ontvangen of het tonen van de sms.
14-07-2021, 10:44 door Anoniem
Beter is om een onveilig en eigenlijk uit te faseren protocol als SMS dan ook uit te faseren.
Niet vasthouden aan iets dat apert onveilig is en mensen omroepen er veilig mee om te gaan,
maar hop weg ermee.

Internet was nooit ontworpen met cybercriminelen in gedachte.
De gelegenheid maakt steeds de dief.
Dat breekt ons nu op.
Maak het daarom cybercrime-proof.

Maar dat doen ook voor de grootste idioot hier op aarde zal een onbegonnen werk zijn, denk ik.
14-07-2021, 11:56 door Anoniem
Door Anoniem: Eh wacht even, die berichten verspreiden HELEMAAL GEEN malware! Ik zou dit soort tekst verwachten in een krant,
maar niet op een security website.

Het is de GEBRUIKER die de malware ZELF INSTALLEERT nadat ie een SMS heeft ontvangen met opdrachten.
Je zou de gebruiker ook een brief kunnen sturen met die link erin en dan ga je ook niet schrijven "brief verspreidt malware".

Ik denk dat de omschrijving "sms berichten die malware verspreiden" gereserveerd moet worden voor de situatie waarin
de trigger voor de malware installatie daadwerkelijk in de sms zit, bijvoorbeeld als gevolg van een softwarefout in de
telefoon tijdens het ontvangen of het tonen van de sms.
Exact dit. SMS hoeft helemaal niet aangepast te worden de gebruikers zijn het probleem.
Sorry maar als je zo dom bent om nu nog te denken dat je een applicatie moet installeren om iets te bekijken wat je altijd al kon dan houdt geen enkele beveiliging het tegen.

SMS is onveilig als het aankomt op onderschepping van gestuurde informatie ik ken niemand in de IT die dat zal ontkennen en het heeft zeker maar een nog beperkte rol in telefonie, datacom. Maar veel succes met autorunnen van iets via SMS. Ik heb nog nooit een case meegemaakt waar er niet gebruik gemaakt werdt van baiting.

Dus nee SMS verspreid inderdaad geen malware de gebruikers doen dat. In tegenstelling tot e-mail waar in uitzonderlijke gevallen zonder interactie van gebruiker mallware gedeployed kan worden al is dat ook gelukkig zeer zeldzaam. Want waarom moeite doen met complexe aanvallen die enkel werken bij exacte parameters als de eind gebruiker die je target al valt voor een slechtgeschreven mail of eentje die naakt fotos beloofd..
14-07-2021, 12:22 door Anoniem
Door Anoniem: Eh wacht even, die berichten verspreiden HELEMAAL GEEN malware! Ik zou dit soort tekst verwachten in een krant,
maar niet op een security website.

Het is de GEBRUIKER die de malware ZELF INSTALLEERT nadat ie een SMS heeft ontvangen met opdrachten.
Je zou de gebruiker ook een brief kunnen sturen met die link erin en dan ga je ook niet schrijven "brief verspreidt malware".

Ik denk dat de omschrijving "sms berichten die malware verspreiden" gereserveerd moet worden voor de situatie waarin
de trigger voor de malware installatie daadwerkelijk in de sms zit, bijvoorbeeld als gevolg van een softwarefout in de
telefoon tijdens het ontvangen of het tonen van de sms.

Yep, eens.
Strikt bekeken verspreidt het SMS-bericht niet de Flubot malware,
maar het verspreidt de link naar een internetsite waar je de Flubot malware (eventueel) kunt oplopen.

Maar ach, een goed verstaander heeft maar een half woord nodig toch?...
14-07-2021, 13:01 door Piscatorius
Door Anoniem: Ik verheug mij op de terugkeer van de Rabo Scanner en andere twee factor apparaatjes, want deze zijn te simpel om Flubot te kunnen draaien.

De Rabo Scanner is nooit weggeweest. Het apparaatje is nog steeds (opnieuw) aan te vragen en te gebruiken.

https://www.rabobank.nl/particulieren/betalen/service/online-bankieren/inloggen-ondertekenen/
14-07-2021, 13:23 door Anoniem
Door Anoniem: SMS is onveilig als het aankomt op onderschepping van gestuurde informatie ik ken niemand in de IT die dat zal ontkennen en het heeft zeker maar een nog beperkte rol in telefonie, datacom.

De Berichten-app van Google maakt gebruik van Rich Communication Services (RCS), een standaard die SMS moet vervangen. SMS wordt in wezen alleen nog als terugval optie gebruikt, als de Berichten app op het (verouderde) mobieltje of dumbphone van de ontvanger om technische redenen geen RCS berichten kan accepteren.

https://www.security.nl/posting/707888/Google+voorziet+Android+Berichten-app+van+end-to-end+encryptie

Maar veel succes met autorunnen van iets via SMS. Ik heb nog nooit een case meegemaakt waar er niet gebruik gemaakt werdt van baiting.

Ik ook niet, maar als je zelf de APK file benodigd voor de F-Droid appstore op je Google mobieltje installeerd, of onder LineageOS, dan moet je naderhand wél de "Unknown Sources" schakelaar, van de voor de APK download gebruikte webbrowser, weer uit zetten in de Android instellingen. Vergeet je dat, dan staat je mobieltje steeds wagenwijd open...
14-07-2021, 13:53 door Anoniem
Door Anoniem:
De Berichten-app van Google maakt gebruik van Rich Communication Services (RCS), een standaard die SMS moet vervangen. SMS wordt in wezen alleen nog als terugval optie gebruikt, als de Berichten app op het (verouderde) mobieltje of dumbphone van de ontvanger om technische redenen geen RCS berichten kan accepteren.
https://www.security.nl/posting/707888/Google+voorziet+Android+Berichten-app+van+end-to-end+encryptie

Ja en ik zit absoluut niet te springen op RCS.
Release 5 Version 1.0
Content sharing
File Transfer
Social Presence Information
Geolocation Exchange
Group Chat

Kortom meer risico's.

Door Anoniem:
Ik ook niet, maar als je zelf de APK file benodigd voor de F-Droid appstore op je Google mobieltje installeerd, of onder LineageOS, dan moet je naderhand wél de "Unknown Sources" schakelaar, van de voor de APK download gebruikte webbrowser, weer uit zetten in de Android instellingen. Vergeet je dat, dan staat je mobieltje steeds wagenwijd open...
Tja als ik mijn virusscanner uit zet om een onveilig niet gecertificeerd bestand te installeren en vergeet deze weer aan te zetten zit je in de zelfde situatie. De standaard configuratie van Fabrieks OS is veilig omtrent gebruik van SMS tegen mallware.
14-07-2021, 14:00 door Anoniem
Door Anoniem: Beter is om een onveilig en eigenlijk uit te faseren protocol als SMS dan ook uit te faseren.
Niet vasthouden aan iets dat apert onveilig is en mensen omroepen er veilig mee om te gaan,
maar hop weg ermee.
Kijk daarom had ik nou die tekst geplaatst om 10:31 want je ziet nu al weer dat mensen triggeren op "SMS verspreidt
malware" -> SMS is onveilig -> SMS moet weg.
Terwijl dat totale kolder is. Als jij STER tijd inkoopt om voor het nieuws van 8 uur met daarin een waarschuwing dat
men geld van rekeningen steelt en je beter even naar https://malware.nl/ kunt gaan om je telefoon beter te beveiligen
dan kun je OOK malware oplopen.
14-07-2021, 14:02 door Anoniem
Door Anoniem:
Maar ach, een goed verstaander heeft maar een half woord nodig toch?...
Ja maar er zijn hier ook een hoop foute verstaanders (zoals die van 10:44) die meteen op de loop gaan met geleuter
over de veiligheid van SMS, terwijl dat er helemaal niks mee te maken heeft.
14-07-2021, 14:22 door Anoniem
Door Anoniem: Exact dit. SMS hoeft helemaal niet aangepast te worden de gebruikers zijn het probleem.
Sorry maar als je zo dom bent om nu nog te denken dat je een applicatie moet installeren om iets te bekijken wat je altijd al kon dan houdt geen enkele beveiliging het tegen.

Klopt, domheid van gebruikers hou je niet tegen.

Maar dat roept wel een paar vragen bij me op. Hopelijk kun je die beantwoorden:
1. Waarom hebben die domme gebruikers de mogelijkheden om dit soort dingen doen? Waarom is dat niet dichtgezet?
2 .Hoort IT niet ten dienste te staan van de gebruikers? Dus waarom kun je als gebruiker links uitvoeren in een SMS bericht? Waarom is dit geen platte ascii tekst. Waarom was deze functionaliteit noodzakelijk?
14-07-2021, 15:06 door _R0N_
Door Anoniem:
Door Anoniem: Exact dit. SMS hoeft helemaal niet aangepast te worden de gebruikers zijn het probleem.
Sorry maar als je zo dom bent om nu nog te denken dat je een applicatie moet installeren om iets te bekijken wat je altijd al kon dan houdt geen enkele beveiliging het tegen.

Klopt, domheid van gebruikers hou je niet tegen.

Maar dat roept wel een paar vragen bij me op. Hopelijk kun je die beantwoorden:
1. Waarom hebben die domme gebruikers de mogelijkheden om dit soort dingen doen? Waarom is dat niet dichtgezet?
2 .Hoort IT niet ten dienste te staan van de gebruikers? Dus waarom kun je als gebruiker links uitvoeren in een SMS bericht? Waarom is dit geen platte ascii tekst. Waarom was deze functionaliteit noodzakelijk?

1) Het staat standaard dicht, je moet je telefoon i ndevloper modus zetten om dit te kunnen doen..
2) Omdat gebruikers lui zijn
14-07-2021, 15:15 door Anoniem
Door Anoniem:
... ik zit absoluut niet te springen op RCS.
Release 5 Version 1.0
Content sharing
File Transfer
Social Presence Information
Geolocation Exchange
Group Chat

Kortom meer risico's.

Featuritis is besmettelijk.

https://en.wikipedia.org/wiki/Featuritis
14-07-2021, 15:34 door johanw - Bijgewerkt: 14-07-2021, 15:35
Door _R0N_:
1) Het staat standaard dicht, je moet je telefoon in devloper modus zetten om dit te kunnen doen..
Welnee, je hoeft alleen maar in de beveiligingsinstellingen installatie uit onbekende bronnen aan te zetten. Tegenwoordig moet je dat zelfs per app dat iets wil installeren instellen.

Developer mode is 7 keer tikken op build version in de about sectie waardoor je dingen als USB debugging e.d. aan kunt zetten.
14-07-2021, 15:38 door Anoniem
Door Anoniem:
Klopt, domheid van gebruikers hou je niet tegen.

Maar dat roept wel een paar vragen bij me op. Hopelijk kun je die beantwoorden:
1. Waarom hebben die domme gebruikers de mogelijkheden om dit soort dingen doen? Waarom is dat niet dichtgezet?
2 .Hoort IT niet ten dienste te staan van de gebruikers? Dus waarom kun je als gebruiker links uitvoeren in een SMS bericht? Waarom is dit geen platte ascii tekst. Waarom was deze functionaliteit noodzakelijk?

1. Het staat standaard dicht maar hebben het wettelijk recht op het risico lopen.

Ik zelf ben hier al jaren tegen wat mij betreft wordt dit beperkt tot bedrijven en gecertificeerden.
Dat is een vorm van uitsluiting ben ik me bewust van en dat levert wettelijk weer ellende maar je mag ook geen auto rijden zonder geldig rijbewijs. Hoewel vaker daar lichamelijke schade ontstaat dan financiele durf ik te zeggen dat de uiteindelijke schade die de gemeenschap loopt met digibeten met toegang tot gevaarlijke software in welke vorm dan ook hoger is dan de schade die alle auto ongelukken per jaar veroorzaken en het wordt enkel erger.

Even verhelderen ik heb het niet over de persoonlijke nog emotionele schade maar de economische impact en de radius. Voor men zegt dat dit bagatalisatie is en het uit verband trekt.


2. Die vraag moet je aan de fabrikanten ontwikkelaars van mobiel OS en browsers vragen.
Vroeger kon je helemaal geen linkjes aanklikken dan mocht je deze overtypen of als je wat moderner toestel had knippen plakken. Ik zelf werk met hxxp:// voor alle links waar commercieel doel achterzit.

De functie was niet noodzakelijk dat is een feature voor hogere verkoop. Hetzelfde dat het auto laden van plaatjes en video of nog erger het downloaden ervan een feature is tegenwoordig in browsers.

Maar kunnen wij het de fabrikanten en ontwikkelaars kwalijk nemen?
Nee het is supply demand. En gemakzucht is in high demand veiligheid helaas een stuk minder.
14-07-2021, 15:49 door De baard
Door _R0N_: 1) Het staat standaard dicht, je moet je telefoon i ndevloper modus zetten om dit te kunnen doen..

Al sinds Oreo (Android 8) is "Allow Installation from Unknown Sources" niet meer te vinden in Dev Modus, maar doe je dit via de browser van keuze. In Android 11 kun je dit nagaan via Apps & Notifications, Special app access, Install unknown apps.
14-07-2021, 20:31 door Anoniem
Ooit toen Belgenmoppen nog populair waren noemden we dit "een Belgisch virus".
Een mailtje met de tekst "gooi al je bestanden weg en stuur dit mailtje door naar iedereen die je kent".
En dan met de suggestie dat Belgen wel zo dom waren om dat dan te gaan doen.
Kennelijk zijn de Nederlanders nu dommer dan de Belgen (daarom hoor je die grappen ook niet meer natuurlijk)...
15-07-2021, 09:23 door Anoniem
Door Anoniem: Eh wacht even, die berichten verspreiden HELEMAAL GEEN malware! Ik zou dit soort tekst verwachten in een krant,
maar niet op een security website.

Het is de GEBRUIKER die de malware ZELF INSTALLEERT nadat ie een SMS heeft ontvangen met opdrachten.
Je zou de gebruiker ook een brief kunnen sturen met die link erin en dan ga je ook niet schrijven "brief verspreidt malware".

Ik denk dat de omschrijving "sms berichten die malware verspreiden" gereserveerd moet worden voor de situatie waarin
de trigger voor de malware installatie daadwerkelijk in de sms zit, bijvoorbeeld als gevolg van een softwarefout in de
telefoon tijdens het ontvangen of het tonen van de sms.

Goed punt, ik verwachtte op basis van deze tekst dat ik automatisch geïnfecteerd word wanneer ik de sms ontvang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.