Android- en iOS-malware maakt gezichtsopname slachtoffers voor bankfraude
Onderzoekers hebben malware voor Android en iOS ontdekt die een gezichtsopname van slachtoffers maakt, waarmee vervolgens een deepfake wordt gecreëerd voor het plegen van bankfraude, zo meldt securitybedrijf Group-IB. De malware wordt GoldPickaxe genoemd en is in Thailand en Vietnam aangetroffen.
De Bank of Thailand kondigde vorig jaar maatregelen aan om fraude tegen te gaan. Thaise banken moeten voor het verhogen van de transactielimiet of uitvoeren van transacties vanaf 1300 euro een biometrische controle uitvoeren, zoals een gezichtsscan. De makers van de GoldPickaxe-malware hebben hiervoor een oplossing bedacht.
Infectiemthode
De eerste stap in de aanval is het infecteren van Androidtelefoons en iPhones. Hiervoor doen de oplichters zich voor als de Thaise overheid en sturen sms-berichten of bellen slachtoffers op. Vervolgens wordt gevraagd om de communicatie via de Line-chatapp voort te zetten. De aanvallers sturen het slachtoffer via de chatapp een link naar de malware. In het geval van Android wordt er gelinkt naar een website die op Google Play lijkt. Vervolgens moet het slachtoffer het malafide APK-bestand downloaden en installeren.Voor het infecteren van iOS-gebruikers maakten de aanvallers eerst gebruik van Apples testplatform TestFlight. Daarmee is het mogelijk om apps buiten de Apple App Store om te installeren. Slachtoffers ontvangen een ogenschijnlijk onschuldige link die naar https://testflight.apple.com/join/
Daarop besloten de aanvallers een andere aanpak, waarbij ze slachtoffers zover weten te krijgen om een Mobile Device Management (MDM) profiel te installeren. Daarmee krijgen de aanvallers controle over de iPhone en kunnen zo met medewerking van het slachtoffer de uiteindelijke malware installeren, waarvan het slachtoffer denkt dat het om een legitieme app gaat.
Eenmaal actief kan de malafide app sms-berichten onderscheppen, maar ook om het identiteitsdocument van slachtoffers vragen. Tevens zal de malware het slachtoffer vragen om een video van zichzelf op te nemen. De opgenomen video wordt dan bij 'face-swapping artificial intelligence services' gebruikt voor het maken van deepfake video's. Via deze deepfake is het dan mogelijk om de bankcontrole te omzeilen en fraude te plegen, aldus Group-IB. Eerder gaf ook de Thaise politie een waarschuwing aan iPhone-gebruikers om geen malafide configuratieprofielen te installeren.
Maar omdat mensen soms sowieso (om verschillende redenen) sideloaden en de restrictie daarop vervolgens vergeten uit te zetten, of met enige social engineering ervan worden overtuigd dat ze het installeren uit andere bronnen toe moeten laten, vormt dit in veel gevallen geen belemmering.
Ook komt het voor dat schijnbaar legitieme apps zelf code "naladen" buiten de Google Play Store om. Zodra een app, ook al lijkt het bijv. om Chrome te gaan, plotseling om permissie voor een Accessibility Service (iets met "Toegankelijkheid") vraagt, zouden bij jou alle alarmbellen af moeten gaan.
Met "Accessibility Service"-permissie (vaak gecombineerd met Foreground Service) mag en kan die app alles op jouw smartphone dat jij kan en mag. D.w.z. uitlezen wat er op het scherm staat en invoer genereren, of jouw invoer wijzigen of blokkeren. En dus ook allerlei instellingen wijzigen (zichzelf nog meer permissies geven etcetera).
Voor slechtzienden of mensen met een andere (lichamelijke) beperking is het superhandig dat legitieme apps (met zulke nog-net-geen-root rechten) taken van hen kunnen overnemen (zoals voorlezen van tekst of gesproken tekst invoeren, of via een braille-keyboard), maar bloedlink als je (de makers van) zo'n app niet voor 100% kunt vertrouwen.
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).
Wat een onzin. Natuurlijk staat op Huawei smartphones ook de sideload functie standaard uit.
Standaard op de meeste toestellen wel (op smartphones van Huawei waarschijnlijk niet).
Wat een onzin. Natuurlijk staat op Huawei smartphones ook de sideload functie standaard uit.
Dombo, ik reageerde op:
Heb je niks beters te doen dan, na 5 dagen, met bullshit te reageren?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
