Nieuwe versie van BankBot slaagt erin Google Play Protect te omzeilen
Een nieuwe versie van de banking trojan BankBot omzeilt detectie door beveiligingsfeatures van de Google Play Store door zijn malafide payload pas enkele uren na installatie te downloaden. De app bespioneert vervolgens gebruikers en steelt zowel inloggegevens van bankaccounts als SMS-berichten met TAN-codes. Onder meer Nederlandse gebruikers zijn doelwit van de malware.
Dit melden beveiligingsonderzoekers Nikolaos Chrysaidos van Avast, Niels Croese van SfyLabs en Lukas Stefanko van ESET. BankBot is een banking trojan die al meerdere malen heeft weten binnen te dringen in Google Play. Eerdere versies werden steeds binnen enkele uren door Google verwijderd, waardoor het aantal slachtoffers beperkt bleef. Een nieuwe versie van de malware past echter trucjes toe om detectie te voorkomen en heeft duizenden slachtoffers weten te maken. De anti-detectiemethode blijkt effectief; de eerste app die deze versie van BankBot bevatte werd op 13 oktober in Google Play aangetroffen, terwijl de meest recente app met BankBot tot 17 november actief was.
Verstopt in onschuldige ogende apps
De malware zit verstopt in ogenschijnlijk onschuldige applicaties die in Google Play worden aangeboden. Denk hierbij aan zaklamp-apps of games als solitair. Bij de installatie vragen de apps om beheerdersrechten. Indien gebruikers deze toekennen, gebeurt er in eerste instantie niets. Om detectie door Google Play Protect te voorkomen voeren de apps pas twee uur nadat gebruikers beheerdersrechten hebben toegekend hun eerste malafide acties uit.
Zodra gebruikers vervolgens een legitieme bankapplicatie openen, legt BankBot een nagemaakte interface over de bankapp heen. Gebruikers die hun inloggegevens invullen, versturen deze ongemerkt naar de cybercriminelen. Gebruikers worden vervolgens doorgestuurd naar de legitieme bankapp en merken dus niet direct dat zij doelwit zijn van BankBot. Zodra gebruikers een transactie proberen uit te voeren onderschept BankBot eventuele SMS-berichten met TAN-codes, die eveneens worden doorgestuurd naar de aanvallers. Dit stelt de aanvallers in staat frauduleuze transacties op te zetten op het bankaccount van slachtoffers.
Gebruikers wereldwijd zijn doelwit
BankBot richt zich op verschillende grote banken die klanten hebben in landen wereldwijd, waaronder Nederland, Duitsland, Frankrijk, Polen, Spanje, Portugal, Turkije, Griekenland, Rusland, de Dominicaanse Republiek, Singapore, de Filipijnen, de Verenigde Staten en Australië.
Meer informatie over BankBot is te vinden in de blogpost van Chrysaidos, Croese en Stefanko.
Meer over
Lees ook
Cisco Annual Security-rapport: sterke groei in geavanceerde aanvallen; het netwerk speelt een centrale rol bij de beveiliging
Uit het vandaag gepresenteerde Cisco 2014 Annual Security Report blijkt dat het aantal dreigingen dat misbruik maakt van het vertrouwen dat gebruikers hebben in systemen, toepassingen en persoonlijke netwerken, ongekende proporties heeft bereikt. Volgens het rapport heeft een wereldwijd tekort aan bijna een miljoen beveiligingsprofessionals negati1
Microsoft-medewerkers trappen in spear phishing-aanval
Medewerkers van Microsoft zijn vorige week in een spear phishingaanval getrapt. De hackersgroep Syrian Electronic Army (SEA) wist op deze wijze de inloggegevens van zowel het blog als het Twitter-account van Microsoft in handen te krijgen. Microsoft bevestigt tegenover The Verge de cyberaanval. "Een social engineering aanvalsmethode die bekend st1
Wiskundig model voorspelt grootschalige cyberaanvallen
Grootschalige cyberaanvallen kunnen met behulp van een computermodel worden voorspeld. Onderzoekers van de Amerikaanse universiteit van Michigan hebben een wiskundige model ontwikkeld dat in staat is te berekenen wanneer dergelijke cyberaanvallen waarschijnlijk plaatsvinden. Het model is alleen geschikt voor zeer grootschalige aanvallen, zoals de1