Android-malware steelt bankgegevens
Nu we met z’n allen veel thuisblijven, zijn we ook massaal aan het internetbankieren. Als je daarbij een Android-toestel gebruikt, moet je op je hoede zijn voor een nieuw type Android-malware. Deze haalt namelijk zonder dat je het doorhebt je bankrekening of bitcoinwallet leeg.
#brandedcontent - Dit artikel is tot stand gekomen in samenwerking met Bitdefender.
Er is een nieuw type Android-malware ontdekt, de zogenaamde Eventbot-malware. Deze malware kan gegevens stelen van meer dan 200 verschillende financiële applicaties zoals die van banken, creditcards en cryptocurrency’s. De malware richt zich op onder andere Europa, de Verenigde Staten en applicaties zoals die van Paypal, paysafecard, CoinBase, Santander, HSBC en Barclays. Een derde van alle malware richt zich momenteel op mobiele apparaten en zo’n 60 procent van de apparaten die toegang hebben tot bedrijfsgegevens is mobiel. Doordat er meer dan 2,5 miljard actieve Android-toestellen zijn, is het een uitermate geschikt platform voor cybercriminelen om zich op te richten.
De malware verspreidt zich via Android-applicaties die iedereen in principe kan downloaden. Doordat ze dezelfde pictogrammen gebruiken als bekende applicaties zoals Microsoft Word, Adobe Flash of bekende spelletjes, worden ze onterecht als legitiem beschouwd. Vooralsnog zijn er in de Google Play Store geen besmette applicaties gevonden. Maar dit lijkt een kwestie van tijd, want de malware is volop in ontwikkeling.
Beveilig je apparaten met Bitdefender
Malware ontwikkelt zich razendsnel
De Eventbot-malware werd in maart 2020 ontdekt en sindsdien volgen de nieuwe versies elkaar in rap tempo op. Op dit moment zijn er al zeker vier versies gezien en er wordt door ontwikkelaars nog steeds veel tijd en moeite in deze malware gestoken. Elke nieuwe versie van de Eventbot-malware introduceert nieuwe functionaliteit om de analyse van de malware voor onderzoekers te bemoeilijken. Er worden normaal gesproken vrij weinig nieuwe malwarevarianten ontdekt die volledig van de grond af zijn geschreven. Over het algemeen worden modules en componenten uit bestaande malware hergebruikt en onder een nieuwe naam gedistribueerd. De Eventbot-malware lijkt daar een uitzondering op te zijn en kan daardoor wel eens een stuk langer in leven blijven dan de meeste gekloonde versies. Op dit moment is de malware vooral te vinden op downloadsites en in app-winkels van derden. Google heeft de beveiliging van Android de afgelopen jaren sterk verbeterd door applicaties voor de Play Store te screenen en applicaties van derde partijen te blokkeren. Toch lukt het veel kwaadaardige applicaties om de detectie van Google te ontwijken. Het blijft een kat-en-muisspel, want de malware kent vele verschillende varianten en muteert voortdurend om antivirus- en andere beveiligingsproducten te omzeilen.
-
Werking van de Eventbot-malware
Als de malware eenmaal gedownload is, zal deze toestemming vragen voor meerdere rechten. De meeste mensen accepteren deze blindelings. Mede daardoor blijft de mens toch de zwakste schakel in cybersecurity. Er wordt onder andere gevraagd om op de achtergrond mee te mogen draaien, batterij-optimalisatie te mogen negeren en te voorkomen dat de processor in slaapstand gaat. Dit zorgt ervoor dat de malware continu op de achtergrond kan blijven draaien. Ook wordt toegang gevraagd tot de toegankelijkheidsfuncties van de mobiele telefoon. Deze zijn eigenlijk bedoeld om gebruikers met een handicap te ondersteunen, zoals met het uitvoeren van spraakopdrachten, het automatisch invullen van wachtwoorden of het automatisch genereren van rechten. Maar de malware gebruikt deze toegankelijkheidsfuncties om andere functies mogelijk te maken.
Nadat de Eventbot-malware alle rechten heeft verkregen, wordt een speciaal configuratiebestand van de zogenaamde Command & Control-server gedownload. Dit is een server van de cybercriminelen, waarmee ze de controle over de applicatie kunnen regelen. Vervolgens start een keylogger die elke toetsaanslag op de mobiele telefoon registreert. Ook kan de malware meldingen van andere applicaties onderscheppen en sms-berichten lezen en stelen. Zo kan de twee-factor-authenticatie voor financiële applicaties omzeild worden en toegang worden verkregen tot geïnstalleerde cryptowallets.
De malware steelt financiële informatie, kan financiële transacties onderscheppen en kan dus ongezien je bankrekening leeghalen of je bitcoins uit je wallet stelen. Nadat de malware is geïnstalleerd, zal deze ook persoonlijke gegevens, wachtwoorden, toetsaanslagen en bankinformatie verzamelen. Hiermee kunnen cybercriminelen toegang krijgen tot persoonlijke en zakelijke bankrekeningen en andere gegevens.
Beveilig je apparaten met Bitdefender
Tips en trucs
Je kunt voorkomen dat je mobiele telefoon besmet raakt met de Eventbot-malware door nooit applicaties van onofficiële app-winkels te downloaden. Ook is het belangrijk om je toestel regelmatig te updaten en ervoor te zorgen dat de laatste en nieuwste securitysoftware erop staat, afkomstig van een betrouwbare bron. Verder kun je de Google Play Protect-functie voor de Google Play Store aanzetten. Als je toch graag een applicatie van een onbekende of ongeautoriseerde bron wilt downloaden, kun je de ‘APK signature’ online laten controleren: zo weet je zeker dat het om een legitieme versie van de applicatie gaat. En natuurlijk is het altijd verstandig om eerst goed na te denken, voordat je specifieke rechten toekent aan applicaties.