Gevaarlijke en schadelijke Android-malware in sms’jes en WhatsApp met verzendbevestigingen van koeriersdiensten

Nederlandse consumenten worden de afgelopen dagen benaderd met Engelstalige sms’jes en WhatsAps berichten met verzendbevestigingen namens meerdere koeriersdiensten. Het gaat om kwaadaardige, schadelijke malware die gericht is op Android-gebruikers, malware die daarnaast óók phishing als doel heeft. U krijgt het verzoek om een Track ’n Trace-app te downloaden om de afleverstatus van u pakket te volgen, maar achter deze link zit een kwaadaardige package. Installeer u deze? Dan kan onder meer u sms-verkeer worden onderschept en kunnen u contacten worden uitgelezen. Het voornaamste doel lijkt echter te zijn om bankgegevens buit te maken. Wat moet u weten en hoe voorkomt u dat u deze malware op u toestel krijgt?

 

Het fenomeen werd vorige maand gesignaleerd in onder andere Duitsland, Polen, Spanje en het Verenigd Koninkrijk. Zo weet Security.nl te vertellen dat de Duitse overheid op 9 april 2021 heeft gewaarschuwd voor deze vorm van oplichting: de malware is namelijk dermate gevaarlijk en geavanceerd dat daartoe een gerechtvaardigd belang bestond.

Maar daar blijft het niet bij. De BBC wist op 23 april 2021 te vertellen dat ook Britten door meerdere grote telecombedrijven werden gewaarschuwd voor deze gevaarlijke phishingcampagne. Zo sprak Vodafone UK al over ‘miljoenen’ verstuurde sms’jes met malware en een woordvoerder sprak bovendien de verwachting uit dat de sms-campagne al snel een enorme, zorgwekkende omvang aan zou nemen. Ook worden nu WhatsApp berichten gestuurd met in de app een link naar de Track en Trace. Het is geschreven in slecht Nederlands.

 

Er zijn verschillende varianten malware in omloop met namen als Cabassous (later FluBot), Anatsa en MoqHau. Navraag bij een cyberdeskundige leerde ons echter dat deze malware onderling niet zo heel erg veel van elkaar verschilt en ruwweg dezelfde kwaadaardige uitgangspunten heeft. 

Nu deze malware ook onder Nederlanders wordt verspreid, bespreken we in dit artikel dan ook in hoofdlijnen wat precies de gevaren en de risico’s zijn en hoe u jezelf tegen dergelijke malware kunt wapenen, in plaats van tot in detail in te gaan op ieder uniek stuk malware. Van tevoren weet u als nietsvermoedende consument immers niet wélke malware u precies downloadt. Maar dat het slecht nieuws is, dat staat vast.

Sms’jes namens koeriersdiensten verwijzen naar kwaadaardige malware

Goed, waar begint het allemaal mee? De benaderingswijze is min of meer gelijk aan pogingen tot oplichting zoals we die in Nederland het afgelopen jaar regelmatig hebben gezien. Denk dan aan sms’jes met verzendbevestigingen van koeriersdiensten als PostNL en DHL die dan naar een geloofwaardige nepsite leiden waar u uw rekeninggegevens in moet vullen om zogenaamd een bescheiden bedrag aan verzendkosten te voldoen.

In zekere zin is dat goed nieuws. Deze vorm van oplichting is het afgelopen jaar namelijk zó vaak gesignaleerd dat niet alleen Opgelicht?! daar herhaaldelijk de nodige aandacht aan heeft geschonken, maar ook andere nieuwsmedia hebben het regelmatig opgepikt. Dat maakt de kans dat mensen er nu nog in trappen wellicht weer iets kleiner: mensen zijn immers iets alerter op verdachte sms’jes namens koeriersdiensten.

Open u als Android-gebruiker deze link? Dan beland u op een pagina waar u gedetailleerde instructies krijgt over het installeren van de package, een zogenaamde APK-file. Dergelijke bestanden worden gebruikt om buiten de Google Play Store om applicaties te kunnen installeren.

Eén variant is in de huisstijl van koeriersdienst UPS gegoten en ziet er als volgt uit, maar het is goed denkbaar dat de malware in meerdere – vergelijkbare – gedaantes wordt aangeboden:

Android-malware aangeboden via ‘UPS’

Uit veiligheidsoverwegingen wordt de installatie van deze packages standaard geblokkeerd op Android-toestellen, maar u krijgt op de pagina instructies te zien waarmee u dat kunt omzeilen. Deze beveiliging uitschakelen kan weliswaar ook een legitiem doel dienen, maar is eigenlijk alleen aan te raden als u een bovengemiddelde technische kennis hebt wat betreft online veiligheid.

Hieronder een paar voorbeelden van een sms zoals Nederlanders ze momenteel ontvangen. De oplettende kijker ziet dat het gaat om een iPhone, terwijl de malware op Androidgebruikers is gericht: iOS-gebruikers kunnen namelijk geen Android-package installeren. 

Voorbeeld van een sms met een link naar een malafide Android-package

Voorbeeld van het WhatsApp bericht

De afzender weet dus niet wat voor type toestel en besturingssysteem u heeft en verstuurt deze sms’jes gewoon in bulk. Dat duidt gelijk weer op een ander probleem: de sms’jes worden op grote schaal verstuurd in de hoop zo veel mogelijk potentiële slachtoffers te benaderen.

Zo stelt beveiligingsonderzoeker Paul Morrison tegenover de BBC dat hij weliswaar een lage absolute slagingskans verwacht, maar dat dat gecompenseerd wordt door de enorme schaal waarop deze sms’jes worden verstuurd. Immers, als er miljoenen sms’jes met malware worden verstuurd, dan is volgens Morrison ‘een slagingskans van 0,1% op deze schaal al rendabel.’

Bovenstaande telefoonnummer is natuurlijk niet het enige nummer dat deze malware verspreidt, want oplichters gebruiken doorgaans een stapel (anonieme) prepaid simkaarten die daags na gebruik worden afgedankt.

In dit geval is echter niet met honderd procent zekerheid te stellen dat alle telefoonnummers daadwerkelijk van oplichters zijn: de malware heeft namelijk de buitengewoon vervelende eigenschap dat het – eenmaal geïnstalleerd – uit uw telefoonnummer mensen kan benaderen.

Een blik op Wieheeftgebeld.nl geeft ons in ieder geval het inzicht dat er vanaf telefoonnummer +31652692683 talloze recente meldingen zijn gedaan van vergelijkbare sms’jes. Een greep uit de selectie:

  • Order 101165 will be delivered. Visit wilskrachtinbeweging.nl/dhl/?bfjd10108pd1105 to manage your delivery.
  • Good news! your Missguided parcel is on board for delivery. Track your parcel inova-dent.com/dhl/?fqp7zrwiriz5
  • We delivered your parcel from BRITISH ESSENTIALS today. Track it at: leggins.pp.ua/k/?dtl9dz10aaj89

De sms’jes zijn qua letterlijke inhoud dus verschillend, de koeriersdienst is wel een overlappende factor en we zien aan de wijze waarop de links zijn opgebouwd dat ze dezelfde structuur vormen.


Wat doet de Android-malware die via deze sms’jes wordt verspreid precies?

Het doel van deze malware wijkt af en is véél doortrapter en venijniger dan ‘zomaar’ wat phishing. Volgens Security.nl gaat het namelijk om zogenaamde ‘banking Trojans’ die onder meer als doel hebben om de inloggegevens voor internetbankieren te onderscheppen. Phishing is dus slechts een onderdeel van deze malware, want daar blijft het niet bij:

Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing.Security.nl

De malware is dermate geavanceerd dat het kan zien welke app voor internetbankieren u op uw toestel heeft. Staat de malware eenmaal op uw toestel? Dan zal de malware de corresponderende phishingpagina van die bank proberen te downloaden. 

Opent u vervolgens de échte app voor internetbankieren? Dan zal de malware de phishingpagina bóven de app plaatsen. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen, belanden vervolgens bij de aanvaller. Overigens zijn iOS-gebruikers niet honderd procent veilig: proberen zij de Android-package te downloaden, dan worden ze doorgestuurd naar een phishing- of advertentiesite.

Op ThreatFabric staat een zeer uitgebreid blogbericht over enkele varianten van deze malware die specifiek op Nederlanders zijn gericht: mensen met een bovengemiddelde interesse in cybersecurity-achtige onderwerpen kunnen we aanraden om dat stuk eens te lezen.

Voor wie een globaal beeld volstaat, volgt hier een greep uit de selectie van waar deze malware nog meer toe in staat is:

  • De aanvaller kan real-time meekijken op uw telefoonscherm;
  • De aanvaller kan namens uw toestel sms’jes versturen om de malware verder te verspreiden;
  • De aanvaller kan namens u klikken en handelingen verrichten;
  • De aanvaller kan een keylogger installeren;
  • De aanvaller kan uw contacten kopiëren;
  • De aanvaller kan apps openen;
  • De aanvaller kan tekstinvoer wijzigen

Kortom, reden genoeg om ver, ver uit de buurt van deze malware te blijven.

Hoe voorkom u dat u deze malware op u Android-toestel krijgt?

Deze vraag is gelukkig vrij eenvoudig te beantwoorden. Open nooit linkjes van afzenders die u niet kent of vertrouwt, zeker als het – zoals in dit voorbeeld – Engelstalige sms’jes zijn uit naam van koeriersdiensten waarvan u weet dat u er niks van krijgt. Het is echter niet uit te sluiten dat er in de toekomst Nederlandstalige sms’jes volgen uit naam van Nederlandse (koeriers)diensten en -bedrijven: alvast iets om rekening mee te houden.

Toch geklikt? Laat u er dan nooit toe verleiden om zomaar een app te downloaden, zeker niet als de ‘behulpzame’ aanbieder u instructies geeft om de standaardbeveiliging mee te omzeilen. Er zijn best legitieme doeleinden denkbaar om tóch een APK buiten de Play Store om te installeren, maar degenen die zich met dat soort zaken bezig houden, weten doorgaans prima wat ze doen.

Voor de doorsnee consument is het in principe niet noodzakelijk voor dagelijks huis-, tuin- en keukengebruik, in ieder geval zeker niet als u daartoe wordt uitgenodigd via sms’jes van onbekende afzenders.

Hoe verwijder u deze malware weer van u Android-toestel?

Ondanks alles tóch doorgeklikt met als resultaat schadelijke malware op u toestel? Dat is uiteraard zeer vervelend, maar niet het einde van de wereld of van uw toestel. Wel is het in ieder geval raadzaam om in dat geval u bankrekening eens na te pluizen op onregelmatige transacties indien u via u geïnfecteerde toestel gebruik hebt gemaakt van internetbankieren. 

Zowel ThreatFabric als het National Cyber Security Centre (van de Britse overheid) raden aan om in het geval van een malwarebesmetting een fabrieksreset te doen, zodat u weer met een schoon toestel begint. Als jij getroffen bent of denkt te zijn, dan kun u het beste even googelen op u toesteltype plus ‘factory reset’ voor de specifieke instructies. 

Kijk ook uit met eventuele back-ups als u denkt dat deze gemaakt zijn terwijl u toestel geïnfecteerd was; back-ups die in deze periode zijn gemaakt, bevatten de malware namelijk ook.

Bron: Bundesamt für Sicherheit in der Informationstechnik / BBC.com / National Cyber Security Centre / Security.nl / ThreatFabric / Wieheeftgebeld.nl