Computerbeveiliging - Hoe je bad guys buiten de deur houdt

android/ios teamviewer bankfraud

16-08-2023, 01:45 door Erik van Straten, 3 reacties
Laatst bijgewerkt: 16-08-2023, 01:49
TL;DR: Dat bankhelpdeskfraudeurs Windows-PC-gebruikers overhalen om "remote control" helpdesksoftware te installeren (legitieme RATs = Remote Access Tools, zoals TeamViewer), mag als algemeen bekend worden verondersteld.

Minder bekend lijkt dat cybercriminelen steeds vaker bezitters van smartphones en tablets overhalen om vergelijkbare RATs uit de Google Play Store of Apple App Store te installeren en de unieke identifier uit zo'n app met hen te delen, waarmee die criminelen het scherm en toetsenbord van de smartphone of tablet op afstand kunnen "overnemen".

Nb. het gaat niet alleen om TeamViewer QuickSupport, maar ook om vergelijkbare apps zoals AnyDesk.

Probleem bankhelpdeskfraude
Er zijn criminelen die telefoonnummers (en vaak aanvullende informatie, zoals leeftijd, naam van hun bank en bijv. IBAN) kopen, van mensen waar zij de bankrekening(en) van hopen te plunderen.

Vervolgens bellen zij naar hun potentiële slachtoffers en proberen hen ervan te overtuigen dat zij een medewerker van hun bank zijn. Kennis van aanvullende informatie (zoals de naam van het potentiële slachtoffer, IBAN en bijv. woonadres) kan het zeer aannemelijk maken dat het echt om een bankmedewerker gaat.

Meestal liegen de criminelen dat er sprake is van een noodsituatie die snel handelen vereist. Niet iedereen trapt hierin, maar veel mensen wel. En dat is niet "stom", maar normaal menselijk gedrag - waar criminelen, feitelijk illusionisten, misbruik van maken.

Rekening leegpinnen word lastiger
Een bekende truc is om de slachtoffers te vragen hun pinpas door te knippen en die vervolgens door een "koerier" te laten ophalen. Ook wordt de pincode afgetroggeld - bijv. met de smoes dat als het slachtoffer diens pincode vertelt, deze ook aan de nieuwe toe te zenden pas zal worden gekoppeld (dat gebeurt overigens standaard zonder dat u iets hoeft te vertellen, uw bank kent uw pincode en zal er dus nooit om vragen). Vervolgens wordt door sukkels (BN'ers na TV-programma's als Opsporing Verzocht) zoveel mogelijk geld van de rekening gepind.

Een andere truc is het slachtoffer vragen om diens geld over te boeken naar een "veilige kluisrekening" - van een geldezel.

Geen verstand van computers
Lastig voor criminelen is dat er steeds vaker beperkingen zitten op hoeveel er gepind kan worden. Dus is het zaak om slachtoffers ervan te overtuigen limieten op te heffen, maar ook zoveel mogelijk geld van spaarrekeningen naar de rekening courant over te maken. En, in plaats van te pinnen, geld laten overboeken naar een "kluisrekening".

Een ander probleem voor de dieven is dat slachtoffers vaak in paniek zijn en sowieso "niet handig zijn met computers". Dus is het, voor dieven, fijn als zij de (Windows) PC van het slachtoffer "over kunnen nemen" en zo'n slachtoffer alleen nog nodig hebben voor authenticeren en accorderen van transacties en/of gewijzigde instellingen.

Steeds minder Windows PC's
Steeds meer mensen hebben bank-apps op smartphones of tablets (met Android, iOS of iPadOS). Android-gebruikers ervan overtuigen om een app van buiten de Google Play Store te installeren kan argwaan wekken. Maar waarom moeilijk doen als "legitieme" remote control apps gewoon uit de "vertrouwde" Play Store en App Store te downloaden zijn?

Dat, met als bijkomend voordeel (voor de criminelen) dat eventueel geïnstalleerde antivirussoftware niet aan hoeft te slaan op dit soort PUP's (Potentially Unwanted Programs). En zelfs áls een antimalware-programma waarschuwt, kan dat bezwaar met een smoes worden weggewinpeld.

Vervolgens, als de smartphone of tablet is overgenomen, hoeft het misbruik niet beperkt te blijven tot één banksessie: (beveiligings-) instellingen kunnen worden gewijzigd, eventuele antivirussoftware kan worden uitgezet en vooral onder Android kan aanzienlijk agressievere malware worden geïnstalleerd.

Cleafy over SpyNote
Aanleiding voor deze post op security.nl is een artikel van Cleafy [1] van eind juli over SpyNote (bron: [2]). SpyNote is een Android trojan met de volgende eigenschappen (uit [1]):
SpyNote abuses Accessibility services and other Android permissions in order to:
- Collects SMS messages and contacts list;
- Record audio and screen;
- Keylogging activities;
- Bypass 2FA;
- Tracking GPS locations.

Tevens uit [1]:
By analyzing these recent campaigns, we observed that the chain of infection usually starts with a fake SMS message (smishing) where the user is asked to install the “new certified banking app”. A second message follows, redirecting the user to the legitimate app of TeamViewer, an app used to receive technical remote support. The right image of Figure 2 shows how the link redirects the user to the official app of TeamViewer QuickSupport on the Google Play Store.

Met andere woorden: als het de geadresseerde niet lukt om SpyNote te installeren en de benodigde permissies toe te kennen, zijn de criminelen best bereid om daar -op afstand- bij te assisteren. SpyNote is echter geen vereiste om uw bankrekening te plunderen; een RAT en social engineering volstaan vaak ook.

Nb. onder Android maken apps zoals AnyDesk en TeamViewer QS ook gebruik van de Android accessibility service, waarmee "over andere apps" geprojecteerd kan worden, het scherm en het keyboard uitgelezen kunnen worden, en toetsaanslagen en andere "clicks" kunnen worden geïnjecteerd. Effectief mag een app met zulke permissies alles wat de reguliere gebruiker mag - waaronder instellingen wijzigen (en dus ook aanvullende petmissies toevoegen).

Reviews in Play/App Stores
Bovenstaand artikel was voor mij aanleiding om eens in de Google Play Store en de Apple App Store naar kritische gebruikersbeoordelingen van TeamViewer QS en van AnyDesk te kijken. Ik hoefde niet lang te zoeken om waarschuwingen te vinden dat scammers aan slachtoffers vragen om dit soort apps te installeren.

Zo te zien zijn er meer apps die remote control van snartphones en tablets mogelijk maken, maar daar heb ik niet verder naar gekeken.

Conclusies en aanbevelingen
Net zoals voor Windows en Linux bestaan er remote control apps, die u uit de "vertrouwde" App stores kunt downloaden, waarmee smartphones en tablets op afstand bestuurd kunnen worden. Scammers lijken hier steeds vaker gebruik van te maken.

In hoeverre bank-apps (kunnen) detecteren dat er een RAT geïnstalleerd is, weet ik niet - maar het lijkt mij onverstandig om daar vanuit te gaan.

Onze tablets en smartphones worden steeds belangrijker doelwitten voor cybercriminelen; er valt steeds meer op te halen terwijl andere aanvalsmogelijkheden worden bemoeilijkt of geëlimineerd. Tegen een gecompromitteerd apparaat, waarbij software (en/of iemand op afstand), als iemand tussen u en uw toestel zit, helpt NIETS (wij beveiligers vinden dat m.i. te vaak vanzelfsprekend, en benoemen dat onvoldoende).

Installeer dus nooit apps op verzoek van een derde, tenzij u zeker weet om wie het gaat én u die persoon volledig kunt vertrouwen. D.w.z. tot-en-met het niveau dat als die persoon bij uw bankpas kan en uw pincode kent, maar ook als deze al uw berichten kan lezen, weet welke websites u bezoekt en overal als u kan inloggen, die persoon nergens misbruik van zal maken.

Iemand op afstand die het contact met u heeft opgezet (e-mail, SMS, WhatsApp, telefonisch, ...) is hier per definitie niet betrouwbaar genoeg voor; er zijn te veel mogelijkheden voor criminelen om zich voor te doen als iemand die uw vertrouwen geniet. Ook als iemands stem perfect lijkt op die van een bekende, of zelfs van uw zoon of dochter, kan dat tegenwoordig een vervalsing zijn.

U doet er goed aan om uw ouders en zoveel mogelijk andere potentiële slachtoffers in uw omgeving te waarschuwen voor het hierboven beschreven risico.

[1] https://www.cleafy.com/cleafy-labs/spynote-continues-to-attack-financial-institutions

[2] https://thehackernews.com/2023/08/european-bank-customers-targeted-in.html
Reacties (3)
16-08-2023, 08:32 door Anoniem
Mooi beschreven.
Tijd voor tukkie?
17-08-2023, 10:12 door waterlelie
Steeds meer mensen hebben bank-apps op smartphones of tablets (met Android, iOS of iPadOS). Android-gebruikers ervan overtuigen om een app van buiten de Google Play Store te installeren kan argwaan wekken. Maar waarom moeilijk doen als "legitieme" remote control apps gewoon uit de "vertrouwde" Play Store en App Store te downloaden zijn?

Het sluit aan op de zorgen die ik heb over het afschaffen van de Bank e-dentifier of ander externe mogelijkheden om in je bankrekening op de PC te komen. Waarom niet alleen een zelfstandige authenticator app van de bank, dat zou al op veel meer acceptatie kunnen rekenen. Omdat de authenticator (qr code scanen) nu geïntegreerd is in de bank app op je telefoon, moet je dus verplicht de bank app openen om de qr code authenticator te kunnen gebruiken.
17-08-2023, 17:22 door Erik van Straten
Door waterlelie: Het sluit aan op de zorgen die ik heb over het afschaffen van de Bank e-dentifier of ander externe mogelijkheden om in je bankrekening op de PC te komen.
Zonder de discussie in de door jou gestarte draad (https://www.security.nl/posting/806381/Bank+app+en+de+spionage+app, met goed- en slecht onderbouwende argumenteerders) helemaal over te willen doen: elke techniek heeft voor- en nadelen, die in de tijd ook nog eens veranderen qua ernst (aanvallen op smartphones zullen voorlopig blijven toenemen).

Zowel een los kastje, waarop in elk geval het overgeboekte bedrag kan worden afgelezen (of op moet worden ingevoerd), als jouw webbrowser, checken niet of je op de echte site van jouw bank zit; een bank-app doet dat wel.

Daarentegen is het allesbehalve transparant wat er in een app gebeurt (in Chrome onder Android kun je door chrome://net-export/ in de adresbalk in te voeren, zeer gedetailleerde logging maken - welliswaar in een niet simpel te lezen json file). Belangrijker, als jouw smartphone gehacked is, is die smartphone met app een SPOF (Single Point Of Failure); je hebt dan 0FA.

Maar dat geldt net zo goed voor een webbrowser op een PC.

Door waterlelie: Waarom niet alleen een zelfstandige authenticator app van de bank, dat zou al op veel meer acceptatie kunnen rekenen. Omdat de authenticator (qr code scanen) nu geïntegreerd is in de bank app op je telefoon, moet je dus verplicht de bank app openen om de qr code authenticator te kunnen gebruiken.
Als ik je goed begrijp bedoel je internetbankieren via een browser op een PC en een tweede factor via een app op een smartphone: dat willen de meeste mensen helemaal niet. Sterker, een rap groeiend aantal mensen heeft helemaal geen klassieke PC meer (en indien wel, dan gaat die niet mee op vakantie), terwijl de mensen die nog wél een PC hebben en gebruiken, lang niet allemaal een recente smartphone bezitten (of weten hoe ze daarmee om moeten gaan; MFA is voor onverwacht veel mensen totaal onbegrijpelijk).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.