Uit de afbeelding maak ik op dat CoinCalc niet in de Play-Store staat.
Dan neemt de gebruiker wel een risico door dit te installeren.
De banken zullen wel weer, onterecht, verantwoordelijk gehouden worden.

Conclusie duidelijk. Op je rekening courant enkel aanhouden wat je courant gebruikt en nodig hebt. De rest eraf halen. Of anders desnoods vastzetten. Grote transacties hebben zelden haast.

Het is natuurlijk hartstikke cool dat als ik tegenwoordig iemand 100 euri moet betalen, dat het er gelijk aan de andere kant op staat. Maar met alles boven de 5000 moeten ze maar effies geduld hebben. Want dat blijft een hoop geld.

Maar Google/Android gebruikers willen toch vrijheid en kunnen installeren wat ze willen zonder beperkingen zoals bij Apple?

https://play.google.com/store/apps/details?id=com.samruston.flip. De afbeelding slaat op de installatie van de malware via de app uit de PlayStore zoals gesteld:

Juist. Bedankt voor de uitleg.

Kan bij mij gelukkig niet gebeuren:
de bank heeft mij een hardware token gegeven die niet zo makkelijk is te gebruiken voor dit soort fraude.

VirusTotal (nu) liegt er niet om.
https://www.virustotal.com/gui/file/15e3c87290957590dbaf4522645e92933b8f0187007468045a5bd102c47ea0f4?nocache=1

Allemaal over naar de bank-app want het is zooooooo veilig.

Ik vraag me af hoelang we dit domme gedrag nog moeten tolereren van, mag ik hopen, professionele organisaties.

Inloggen bij je bank via een app op je GSM is niet veilig en zal het ook nooit worden.

Gewoon een random reader i.c.m. je bankpas is een heel stuk veiliger.

De bank lokken dit soort problemen zelf uit, door alle bankhandelingen op hetzelfde (onveilige/kwetsbare) apparaat uit te willen voeren, want gemakkelijk en snel voor de gebruiker.
Vooral als de bank (ING) je dwingt om voor alle acties dezelfde beveiligingscode te gebruiken. (want gemakkelijk)

Deze malware doet me denken aan de Godfather trojan ([1]), en het zou mij niet verbazen als ze dezelfde roots hebben: Anubis.

"Figure 7" in [1] is een animated GIF die duidelijk maakt hoe gebruikers worden misleid zodra zij zijn overgehaald om de feitelijke malware te downloaden.

[1] https://www.group-ib.com/blog/godfather-trojan/

Het lukt de makers kennelijk voortdurend om hun "droppers" in de Google Play Store te krijgen, uit [2]:

[2] https://www.threatfabric.com/blogs/the-rage-of-android-banking-trojans.html

Gelukkig dat de banken alle aparte hardware authenticators aan het wegbezuinigen zijn en vervangen door de apps.. waar je alles kan doen met een luttele pincode van 5 cijfers.
graag iedereen banken op een app, niet op een pc met een apart auth device nee...

zo gingen we van user+wachtwoord +hardware auth
naar alles en volledige controle op zo'n slecht beveiligd apparaat als een android telefoon met een 5 cijfer pin.
Ik herriner mij nog het hele pin code afkijken bij de pin automaat..

maar toe ik aankaarte dat de bank de 2 factor hiermee sloopte en pincodes letterlijk afkijken mogelijk maakte werd ik voor politiek correct gek uitgemaakt. 'is allemaal heel veilig want we voldoen aan de wetgeving' want die loopt nooit achter...

Dan zouden we google verantwoordelijk moeten stellen, zij faciliteren dit namelijk.

Voor Google en Microsoft wordt het ook zo langzamerhand dweilen met de kraan van cybercrime open. Hoe gaan we dit oplossen en is het wel op te lossen?

Faciliteren is m.i. het verkeerde woord: het is (ga ik vanuit) geen kwade opzet dat het Google voortdurend niet lukt om alle malware uit de Play Store te houden (idem Apple uit hun App Store). "Best effort" zeg maar.

Niet onverwacht, want dit is een kat-en-muis-spel: als je ervoor kunt zorgen dat de Google testers en testprocedures geen kwaadaardig gedrag ontdekken, komt jouw app in de Play Store - totdat iemand aan de bel trekt (maar dan staat de volgende al klaar).

Bovendien, wat is malware? Het voordeel (niet voor gebruikers) van apps is dat je niet zoveel privacy-gezeik hebt als met websites, geen rekening hoeft te houden met verschillen tussen webbrowsers, geen last hebt van irritante adblockers of NoScript, makkelijk bij het clipboard, adresboek, locatie- en andere sensoren kunt, veel meer local storage hebt en ga zo maar door.

Voor gebruikers: elke app die je installeert is een gok. Het aantal downloads en het aantal + de soort reacties kunnen wat zeggen over de betrouwbaarheid van een app, maar dat hoeft niet (een app kan in veel landen prima werken maar kwaadaardig worden als je een specifieke bank-app gebruikt, maar ook allerlei andere "inputs" kunnen van invloed zijn, zoals ingestelde GUI-taal, locatie, telecom-provider etcetera).

En elke (automatische) update van elke app is opnieuw een gok - vooral als een app ondertussen (ongemerkt) van eigenaar is gewisseld.

Als een app plotseling om meer onlogische permissies vraagt, kan dat foute boel zijn. Apps die vragen "boven" andere apps te mogen verschijnen, het scherm mogen uitlezen en/of namens jou virtuele knoppen mogen indrukken en/of tekst mogen invoeren in velden, zijn potentieel AitM (Attacker in the Middle) apps - zij mogen en kunnen wat jij mag en kunt. Elke app met dergelijke rechten zul je voor 100% moeten kunnen vertrouwen.

Echte Android functionaliteit, zoals de ingebouwde "Google Play Protect", heeft "systeemrechten": dat is geen app die je ooit handmatig permissies hoeft te geven om geïnstalleerde apps op malware te kunnen scannen. Laat je niet foppen op een manier die je bijvoorbeeld in "Figure 7" in https://www.group-ib.com/blog/godfather-trojan/ kunt zien.

Klopt. Dus maak je iedere keer een risicoafweging voordat je van die mogelijkheid gebruik maakt.

Zijn er ook slachtoffers gevallen?

Als er genoeg tijd overheen gaat....

De uitleg die ik indertijd kreeg toen oa. de TAN-codes uitgefaseerd werden in ruil voor de App, was dat klanten de random 6 cijferige codes niet foutloos konden intypen. Een standaard 5 cijferige code die overal voor gebruikt moet worden, is dan een stuk makklelijker, En veel minder secure. Maar als het fout gaat, dan zal de schuld wel bij de klant gelegd worden.
Zoals altijd.

Bestond het loonzakje nog maar. (denk ik soms)

Ik heb de beveiliging steeds verder achteruit zien gaan.

Ook had je een inbelverbding nodig om electronsiche transacties naar de bank door te geven, met een random TAN-code authenticatie.
Zat de telefoonkabel niet in je modem, dan kon er niets verzonden worden.

Toen werd het internet bankieren via de website.
Je kon vanaf dat moment vanaf willekurig elke computer of laptop met toegang tot het internet bij je bankrekening.
Voor overboekingen had je nog steeds een random SMS-, TAN-, of Token-code nodig als extra beveiliging.

En toen kwam de bank-App.
Ook op telefoons waarvan toen al bekend was dat updates zwaar achter liepen of niet meer ontvangen werden (agv van telco's en fabrikanten).
Met alleen nog een enkele 5-cijferige code die overal voor gebruikt wordt.
Inloggen op de website is niet of zelden nog nodig. Bijna alles kan in de bank-app gedaan worden.

En dit moet dan veilig(er) zijn.
Welkom in de hypermoderne wereld van de 21e eeuw waarin alles zoveel beter is.

Ach kom op, je weet wel beter.

sapperdeflap wat een crap app

oplossing eenvoudig, laat bank maar alle 'incidenten' zelf betalen en zonder de prijzen voor 'service' te verhogen.

Krijgt Rian van Rijbroek toch gelijk.

Daar ga ik al lang niet meer vanuit.

Maar waar is en blijft de "best effort" van de banken?
Waarom geen MFA oplossingen met random codes voor elke betaal opdracht opnieuw invoeren. (vanaf een ander en veilig apparaat of token natuurlijk)

Ik ben een voorstander dat directie en de aandeelhouders voor alle geleden schade moeten opkomen,
en de bank mag de eerste vijf jaar de kosten van een rekening niet meer verhogen.

Spreek voor jezelf.

Dat kan nog steeds hoor, maar het hoeft niet.

Het valt me wel op dat de responders hier wel denken verstand van security te hebben (en een enkeling heeft dat ook), maar geen idee hebben dat het om risico beheer gaat. Als het risico laag is, dan weinig security, als het risico hoog is, dat meer security maatregelen, maar nooit te veel. Het geld moet zinnig besteed worden.
De eerste betaal apps op de telefoon werkten met speciale sims en certificaten. Je genereerde (personaliseerde) een betaal kaart op je telefoon. Banken kwamen erachter dat deze hoge mate van security ingewikkeld was en niet noodzakelijk. Het risico is minder hoog dan gedacht, dus werd het minder secure en makkelijker gemaakt. Dit is in een aantal slagen gegaan.
Als je kijkt hoevaak het goed gaat tov dat het fout gaat en de (financiele) impact mee neemt, kun je uitrekenen of het nog binnen je risico profiel zit.
Kritiek op te weinig security maatregelen is eenvoudig, maar je moet (proberen) het hele plaatje te zien. Om security.nl te lezen heb je ook geen MFA met biometrie nodig. het kan zelfs zonder username en password ;-)

Op het moment dat een currency omreken app (calculator) vraagt om een nieuwe ‘play protect app’ te installeren, zou ik mezelf toch wel afvragen of dat echt nodig is.
Blijft opletten dus.

Maar Security.nl gaat niet over (mijn) geld. De bank app wel.
Dus aan een bank app mogen/moeten hogere security eisen gesteld kunnen worden.
Ongeacht de risico inschatting van de bank. Want die heeft een ander doel voor ogen dan de bulk van haar klanten. Namelijk winst maken. Niet het zorgvuldig omgaan met het geld dat haar toevertrouwd wordt. Dat is helaas een bijzaak geworden.
En de klanten hebben weinig keus. Zij moeten ergens hun salaris laten storten en hun beetje spaargeld stallen.
Zonder bank kan dat niet. Maar dat schijnen ze in Den haag niet te willen snappen.

Maar wel kennis, dan worden mensen die wel het heel plaatje zien niet met die onzinnige reacties weggehoond.

Contant geld in je portemonnee is ook niet 100% veilig. Dus wat wil je nu eigenlijk zeggen?

Nooit app willen gebruiken heb ook zo'n Digipass voor autorisatie. Kennis en bezit was altijd veilig maar als je dat op 1 apparaat zet niet meer.

Ik neem aan dat je niet de hele inhoud van je bankrekening in je portemonnee met je meedraagt?
Niemand kan je garanderen dat een bank-app veilig is voor andere apps die je kunt installeren op je GSM.
Eén foute app die de toegang tot je bank-app weet te bemachtigen en je bankrekening is waarschijnlijk leeg.

Je random reader heeft geen verbinding met het Internet en je bankpas ook niet, een bank-app wel.
En wat fout kan gaan gaat gewoon een keer fout, zo ook met het ontwikkelen van software als er ergens een foutje gemaakt wordt zoals we dat iedere dag weer op security.nl kunnen lezen.

En wat betreft een Andriod GSM of die nu zo veilig is voor bankzaken ......?

Waar het telkens mee fout ging bij die reader-apps is dat mensen een malware transactie die onder water op de PC gedaan is ermee autoriseren.
Of een koppeling van een ander management apparaat autoriseren.

*Omdat* er geen verbinding is met Internet , is het retour kanaal om veilig te laten zien *wat* je authoriseert niet (of met extreem weinig informatie) aanwezig .
Wat je in je browser ziet is - op een gehackt systeem - helemaal niet wat aan de bank aangeboden wordt als transactie .
En als er nou één systeem gemiddeld niet betrouwbaar is, is dat wel een standaard consumenten PC .

Zelfs het SMS systeem - waarbij in de SMS staat wat er aan geld waar naar toe gaat - bleek gewoon dat mensen letterlijk blindelings de code over tikken, ook al staat er in de SMS iets anders dan wat ze op de compu aan het overboeken waren.
Daar kunnen de security nerds dan arrogant over doen "lekker eigen schuld, moet je maar lezen" - maar het is gewoon een (ervarings)feit bij de banken die dat systeem gebruikten - mensen doen routine blindelings.
Op dezelfde manier faalt dat tweede-factor systeem waarop je met een push bericht een login moet authoriseren.
Genoeg pushes, doen authoriseert een slachtoffer wel een keer de aanvaller.


Wie erg zenuwachtig is kan een dedicated device nemen waarop je geen andere apps installeert .

En waarom niet gewoon zoals het was, de random reader van je bank? Geheel dedicated.

Ja maar met die reader kan het nooit automatisch gaan, en inderdaad je moet voorzichtig zijn.

Het gaat nooit 100% veilig zijn.

En het is niet zoveel onveiliger nu dan vroeger. Als de techniek helemaal was stil blijven staan aan de bank kant dan waren er nu wel andere aanvallen op random readers of TAN codes. En aan de andere kant stond een groep te schreeuwen dat de banken niet mee gaan met de techniek.

Dit blijft een afweging gemak vs veiligheid en vooral ook kosten. Dat beetje problemen nemen we al sinds het begin voor lief en blijven we doen.