Androidmalware onderschept 2FA-codes Duitse banken

doorSecuratis

Androidmalware onderschept 2FA-codes Duitse banken

Onderzoekers waarschuwen voor Androidmalware die tweefactorauthenticatie (2FA)-codes van banken onderschept voor het uitvoeren van bankfraude. De malware wordt door onderzoekers van IBM “TrickMo” genoemd, wat een verwijzing naar Trickbot Mobile is.

De aanval begint namelijk met een infectie van de computer door Trickbot. Deze malware wordt weer door de Emotet-malware geïnstalleerd, die van documenten met kwaadaardige macro’s gebruikmaakt. Zodra Trickbot op de computer actief is wacht die totdat de gebruiker wil internetbankieren. Vervolgens injecteert de malware op de banksite een extra veld dat om het mobiele telefoonnummer en toesteltype vraagt.

Wanneer de gebruiker aangeeft dat hij van een Androidtoestel gebruikmaakt ontvangt hij een bericht om een “security-app” te installeren. In werkelijkheid gaat het om de TrickMo-malware. Deze malware onderschept TAN-codes die via sms worden verstuurd, alsmede one-time passwords (OTP) die via push notificaties worden ontvangen. De malware heeft op de computer al de gegevens onderschept om toegang tot de bankrekening te krijgen, maar veel banken maken gebruik van 2FA-codes voor het bevestigen van transacties. Die worden door TrickMo onderschept.

De Androidmalware maakt hiervoor misbruik van de accessibility service van Android, waarvoor het de gebruiker toestemming vraagt. Deze service is oorspronkelijk ontwikkeld door Google voor mensen met beperkingen. TrickMo gebruikt deze service om onder andere de standaard sms-app te worden, actieve applicaties te monitoren en tekst op het scherm te schrapen, of bepaalde “taps” uit te voeren. Zo kan de malware bepaalde keuzes in naam van de gebruiker maken, nog voordat die de kans heeft om te reageren.

“De feature die TrickMo onderscheidt van andere sms-stelers is de mogelijkheid om het scherm op te nemen wanneer bepaalde apps draaien”, zegt onderzoeker Pavel Asinovsky. Deze feature is vooralsnog alleen waargenomen in TrickMo-versies die het op Duitse banken hadden voorzien die gebruikmaken van een speciale app voor TAN-gebaseerde 2FA. Op deze manier kan de malware het gebruik van pushTAN-codes door banken omzeilen.

Nadat de malware het OTP of de mobiele TAN-code heeft gestolen schakelt TrickMo de schermvergrendeling in en voorkomt dat de gebruiker toegang tot het toestel heeft. Dit moet de malware meer tijd geven voor het legen van de bankrekening.

https://www.security.nl/posting/649275/Androidmalware+onderschept+2FA-codes+Duitse+banken?channel=rss

Over de auteur

Securatis administrator

Secured By miniOrange