Nieuwe Android-malware is ook gericht op Nederlandse bank-apps

Er is nieuwe Android-malware opgedoken die verschillende Nederlandse bank-apps als doelwit heeft. Deze malware is na succesvolle installatie in staat om geld weg te halen van bankrekeningen. Deze malware doet zich via een malafide app voor als Google Protect, in de hoop dat mensen het installeren. Wat moet je weten?

Op het weblog van securitybedrijf ThreatFabric staat een zeer uitgebreide, technisch gedetailleerde post waarin deze zogenaamde Xenomorph-malware aan een analyse wordt onderworpen. Omdat het volledige verhaal eigenlijk voornamelijk relevant is voor mensen met een bovengemiddelde technische kennis, beperken we ons hier tot een samenvatting van de belangrijkste punten.

Het gaat om een geavanceerd stuk malware dat zich verspreidt via een app genaamd CoinCalc. Dat lijkt op het eerste gezicht een onschuldige app om wisselkoersen mee te berekenen, iets dat in de context van internetbankieren best logisch is en om die reden niet direct argwaan wekt.

Deze CoinCalc-app vraagt gebruikers echter om 'Play Protect' te installeren, waarmee de suggestie wordt gewekt dat het een officiële Google Play-extensie betreft die de veiligheid van CoinCalc garandeert. Maar hierin schuilt 'm het gevaar: de malware zit namelijk in deze valse Play Protect-app verstopt.

Het artikel gaat verder na onderstaande afbeelding.

Op bovenstaande screenshot is te zien dat het gaat om een onbekende, niet-officiële app die buiten de echte Google Play Store om wordt aangeboden. En dat is eigenlijk al reden genoeg om op je hoede te zijn: voor doorsnee telefoongebruikers is er eigenlijk zelden een reden om apps buiten de officiële Play Store om te installeren.

Dat kan in sommige gevallen wel, en het is ook niet per definitie gevaarlijk, maar het is aan te raden dat je zeker weet waar je mee bezig bent en dat de app die je probeert te installeren van een betrouwbare ontwikkelaar is. En juist daar gaat het mis.

Wat kan deze app zoal? Een heleboel, zo stelt ThreatFabric. En dat is slecht nieuws voor slachtoffers.

Zo is deze malware in staat om inloggegevens te onderscheppen, het banksaldo op te vragen, het stelen van codes voor tweefactorauthenticatie en het automatisch uitvoeren van transacties, zoals het wegsluizen van jouw banksaldo.

Het opmerkelijke is dat daar geen menselijke tussenkomst voor nodig is: de malware is geavanceerd genoeg om – eenmaal geïnstalleerd – volledig automatisch aan de slag te gaan. Een ongeluk schuilt dan ook in een klein hoekje.

Deze malware is wereldwijd georiënteerd: zo'n vierhonderd verschillende bank-apps kunnen door deze malware worden aangevallen voor frauduleuze doeleinden, waaronder ook Nederlandse banken. Dat geldt in ieder geval voor ABN Amro en ING, en daarmee hebben we toch twee van de drie grootste Nederlandse banken te pakken.

Een goed begin is om nooit apps te installeren als je de ontwikkelaar niet kent of vertrouwt. Dat geldt al helemaal als er wordt gevraagd om apps buiten de officiële Play Store om te installeren. Deze mogelijkheid is in beginsel uitgeschakeld: je moet daadwerkelijk een aantal stappen zetten om zogenaamde third-party apps te installeren. Maar dit soort apps proberen jou te manipuleren om daar tóch toestemming voor te geven, door bijvoorbeeld de suggestie te wekken dat het gaat om een essentiële of onmisbare update. Blijf dus altijd goed opletten, daarmee voorkom je een hoop ellende.

Bron: Security.nl, ThreatFabric