Nieuwe versie van BankBot slaagt erin Google Play Protect te omzeilen
Een nieuwe versie van de banking trojan BankBot omzeilt detectie door beveiligingsfeatures van de Google Play Store door zijn malafide payload pas enkele uren na installatie te downloaden. De app bespioneert vervolgens gebruikers en steelt zowel inloggegevens van bankaccounts als SMS-berichten met TAN-codes. Onder meer Nederlandse gebruikers zijn doelwit van de malware.
Dit melden beveiligingsonderzoekers Nikolaos Chrysaidos van Avast, Niels Croese van SfyLabs en Lukas Stefanko van ESET. BankBot is een banking trojan die al meerdere malen heeft weten binnen te dringen in Google Play. Eerdere versies werden steeds binnen enkele uren door Google verwijderd, waardoor het aantal slachtoffers beperkt bleef. Een nieuwe versie van de malware past echter trucjes toe om detectie te voorkomen en heeft duizenden slachtoffers weten te maken. De anti-detectiemethode blijkt effectief; de eerste app die deze versie van BankBot bevatte werd op 13 oktober in Google Play aangetroffen, terwijl de meest recente app met BankBot tot 17 november actief was.
Verstopt in onschuldige ogende apps
De malware zit verstopt in ogenschijnlijk onschuldige applicaties die in Google Play worden aangeboden. Denk hierbij aan zaklamp-apps of games als solitair. Bij de installatie vragen de apps om beheerdersrechten. Indien gebruikers deze toekennen, gebeurt er in eerste instantie niets. Om detectie door Google Play Protect te voorkomen voeren de apps pas twee uur nadat gebruikers beheerdersrechten hebben toegekend hun eerste malafide acties uit.
Zodra gebruikers vervolgens een legitieme bankapplicatie openen, legt BankBot een nagemaakte interface over de bankapp heen. Gebruikers die hun inloggegevens invullen, versturen deze ongemerkt naar de cybercriminelen. Gebruikers worden vervolgens doorgestuurd naar de legitieme bankapp en merken dus niet direct dat zij doelwit zijn van BankBot. Zodra gebruikers een transactie proberen uit te voeren onderschept BankBot eventuele SMS-berichten met TAN-codes, die eveneens worden doorgestuurd naar de aanvallers. Dit stelt de aanvallers in staat frauduleuze transacties op te zetten op het bankaccount van slachtoffers.
Gebruikers wereldwijd zijn doelwit
BankBot richt zich op verschillende grote banken die klanten hebben in landen wereldwijd, waaronder Nederland, Duitsland, Frankrijk, Polen, Spanje, Portugal, Turkije, Griekenland, Rusland, de Dominicaanse Republiek, Singapore, de Filipijnen, de Verenigde Staten en Australië.
Meer informatie over BankBot is te vinden in de blogpost van Chrysaidos, Croese en Stefanko.
Meer over
Lees ook
Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams
Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestd1
Onderzoek Proofpoint: TA571 levert IcedID Forked Loader
Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.
Zowel cybercriminelen als –verdedigers gebruiken AI
Nieuwe ISACA-gids ondersteunt bedrijven bij het managen van generatieve AI-risico’s