Abonnementen-trojans zijn een aloude methode om Android-gebruikers hun zuurverdiende centen afhandig te maken. Ze infiltreren een smartphone onder het mom van nuttige apps en abonneren zich stiekem op betaalde diensten. Vaker wel dan niet is het abonnement zelf echt, alleen heeft de gebruiker de dienst hoogstwaarschijnlijk helemaal niet nodig.
De makers van dergelijke trojans verdienen geld op commissiebasis; dat wil zeggen dat ze een bepaald percentage ontvangen van wat de gebruiker uitgeeft. In dit geval wordt het geld meestal van een mobiele telefoonrekening afgeschreven, hoewel het bij sommige soorten abonnementen ook rechtstreeks van een bankkaart kan worden afgeschreven. Hier zijn de meest opvallende voorbeelden van mobiele abonnementen-trojans.
Betaalde abonnementen en bevestigingscodes in sms-berichten
Trojans van de 'Jocker-families' worden meestal via Google Playverspreid. Cybercriminelen wijzigen daadwerkelijk nuttige apps door er schadelijke code aan toe te voegen en ze onder een andere naam naar de winkel te uploaden. Het kan dan bijvoorbeeld gaan om apps om berichten te sturen, voor bloeddrukmetingen of het scannen van documenten. Google Play-moderatoren proberen dergelijke apps te identificeren, maar de aanvoer van nieuwe apps is sneller dan het verwijderingsproces van de gevonden schadelijke apps.
Enkele van de apps in Google Play die besmet waren met de Jocker-trojan
Laten we eens diep ingaan op de werking van abonnementen-trojans. In een normale situatie moet een gebruiker om zich op een dienst te abonneren naar de site van de aanbieder van de inhoud gaan en op de knop Abonneren klikken of tikken. Om geautomatiseerde pogingen tot het afsluiten van abonnementen tegen te gaan, vragen dienstverleners de gebruiker om zijn/haar voornemen te bevestigen door een in per sms verzonden code in te voeren. Malware van de Jocker-familie kan deze beschermingsmethode echter omzeilen.
Nadat de geïnfecteerde app op het apparaat terecht is gekomen, vraagt het de gebruiker in veel gevallen om toegang tot sms-berichten. Vervolgens opent de trojan de inschrijvingspagina in een onzichtbaar venster, simuleert hij het tikken op de knop “Abonneren”, steelt de bevestigingscode uit het sms-bericht, en wordt u zomaar geabonneerd.
In gevallen waarin de app-functionaliteit geen toegang tot sms-berichten vereist (waarom zou u die bijvoorbeeld aan een app voor het scannen van documenten verlenen?), vragen de abonnementen-trojans van de Jocker-familie om toegang tot uw meldingen. Dit maakt het mogelijk om de bevestigingscode te stelen zoals eerder beschreven, maar nu gebeurt dat via de pop-upmeldingen over binnenkomende berichten.
Hoe abonnementen-trojans de CAPTCHA omzeilen
Trojans van de 'MobOk-familie' gaan iets geraffineerder te werk. Ze stelen niet alleen bevestigingscodes uit sms’jes of meldingen, maar omzeilen ook de CAPTCHA, een ander beschermingsmiddel tegen geautomatiseerde abonnementen. Om de code in het plaatje te herkennen, stuurt de trojan het naar een speciale dienst.
In andere opzichten is de werking ervan vergelijkbaar met trojans van de Jocker-familie. In verschillende gevallen werd MobOk verspreid als payload van de Triada-trojan, meestal via voorgeïnstalleerde apps op sommige smartphonemodellen, onofficiële WhatsApp-mods of de alternatieve app-winkel APKPure. Soms zijn met MobO geïnfecteerde apps ook op Google Play te vinden.
Abonnementen-trojans van onofficiële bronnen
Malware van de 'Vesub-familie' wordt ook verspreid via dubieuze bronnen onder het mom van apps die om de een of andere reden uit de officiële winkels worden geweerd – bijvoorbeeld vermomd als apps voor het downloaden van inhoud van YouTube, andere streamingdiensten zoals Tubemate of Vidmate, of als een onofficiële Android-versie van GTA5. Bovendien kunnen ze in deze zelfde bronnen voorkomen als gratis versies van populaire, dure apps, zoals Minecraft.
Abonnementen-trojan Vesub vermomd als Tubemate, Vidmate, GTA5, Minecraft of het ietwat mysterieuze GameBeyond
In tegenstelling tot malware uit de MobOk- en Jocker-families, doen met Vesub geïnfecteerde applicaties vaak helemaal niets nuttigs voor de gebruiker. Onmiddellijk na de installatie abonneren ze je ongevraagd op een dienst en verbergen ze de relevante vensters voor de gebruiker, terwijl ze aan de oppervlakte een app-laadvenster tonen. In sommige gevallen zit er iets nuttigs in de app die geïnfecteerd is met MobOk, maar dit zijn zeldzame uitzonderingen.
Inloggen met telefoonnummer
'GriftHorse.ae-trojans' doen het nog een stukje simpeler. Wanneer ze voor de eerste keer worden uitgevoerd, vragen ze de gebruiker zijn of haar telefoonnummer in te voeren, zogenaamd om in te loggen. Het abonnement wordt verstrekt zodra de gebruiker een nummer invoert en op de knop Aanmelden tikt, en het geld wordt van vervolgens van zijn of haar mobiele rekening afgeschreven. Deze malware doet zich meestal voor als een app voor het herstellen van verwijderde bestanden, het bewerken van foto’s of video’s, het laten knipperen van de zaklamp bij inkomende oproepen, navigatie, het scannen van documenten, vertalingen, enzovoort. In werkelijkheid bieden deze geïnfecteerde apps totaal niets nuttigs.
Abonnementen met automatische betalingen
Ondanks de gelijkaardige naam gebruiken de abonnementen-trojans van 'GriftHorse.l' een andere truc: ze maken gebruik van abonnementen met herhalende betalingen. Formeel gebeurt dit met de rechtstreekse toestemming van de gebruiker, maar slachtoffers beseffen wellicht helemaal niet dat ze zich aanmelden voor periodieke automatische betalingen. De tweede truc bestaat eruit de eerste betaling onbeduidend te maken, terwijl de latere kosten aanzienlijk hoger zijn.
Hoe zorgt u ervoor dat u hier geen slachtoffer van wordt?
Uitzoeken hoe u een ongewenst betaald abonnement kunt annuleren kan erg lastig zijn. Zoals altijd is voorkomen beter dan genezen. Hieronder volgen daarom onze tips om u tegen abonnementen-trojans te beschermen:
- In de eerste plaats, installeer geen apps van onofficiële bronnen. Dit zal de beveiliging van uw apparaat enorm ten goede komen.
- Officiële bronnen zijn een stuk beter, maar helaas ook niet 100% veilig. Controleer daarom eerst de recensies en beoordelingen voordat u een app downloadt van Google Play of een andere app-winkel.
- Kijk ook naar de datum waarop de app op het platform is verschenen. App-winkels verwijderen proactief gevaarlijke nep-apps, waardoor scammers ook weer voortdurend nieuwe versies van geïnfecteerde apps maken. Dus als een app die u wilt downloaden pas onlangs in de winkel is verschenen, moet u op uw hoede zijn.
- Verleen apps minimale machtigingen op uw apparaat. Voordat u een app toestaat om bijvoorbeeld uw sms’jes of meldingen te lezen, moet u zich afvragen of dat wel echt nodig is.
Bron: kaspersky.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer malware nieuws
Is de ‘NewProfilePic-app’ Russische malware?
De app 'New Profile Pic' staat zowel in de Apple App Store als in de Google Play Store op nummer één in de ranglijst van de populairste, meest gedownloade apps. Daarmee is de app momenteel dus populairder dan apps als Instagram, TikTok, Snapchat, YouTube en Messenger. Maar om deze app is momenteel het één en ander te doen: zo gaat het gerucht dat de app in werkelijkheid malware bevat van Russische makelij, dat gebruikers van de app slachtoffer worden van oplichting én dat de app data doorsluist naar het Kremlin. Hoe zit dat? In dit artikel leggen we het uit.
Hoe werkt de Apple, Google en Samsung Pay oplichtingstruc?
Oplichting via Apple Pay? Het kan! Criminelen zijn er namelijk in geslaagd om creditcardfraude via Apples betaaldienst te plegen. Ook Google Pay en Samsung Pay zijn kwetsbaar. De truc werkt via malware en vooralsnog zijn er geen Nederlandse slachtoffers bekend.
‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?
Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm
Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.
Stijging van ruim 47 procent met nieuwe malware
Er komen steeds meer verschillende soorten malware samples op de markt blijkt uit een analyse van G DATA CyberDefense. In totaal werden er vorig jaar meer dan 23,7 miljoen verschillende soorten malware samples geïdentificeerd. Dit staat gelijk aan bijna 65.000 nieuwe varianten malware per dag, oftewel 45 nieuwe aanvalsvectoren per minuut. Vergeleken met 2020 is dit een stijging van ruim 47 procent.
Toename gebruik van versleutelde verbindingen voor het afleveren van zerodays en malware
Het aantal malwarebesmettingen op eindpoints oversteeg in Q3 van 2021 al het totale volume van 2020. Ook het aantal zero-day-aanvallen met malware dat binnenkomt via versleutelde verbindingen is gestegen.
Hoe een valse reboot aanval voet aan de grond krijgt in het besturingssysteem van een smartphone
Om er absoluut zeker van te zijn dat uw telefoon u niet trackt of gesprekken afluistert, kunt u hem uitzetten. Dat lijkt logisch, want op die manier kan uw telefoon niets doen, zelfs niet als de telefoon geïnfecteerd is met ernstige spyware.
De wederopstanding van Emotet malware
Emotet is sinds vorige week weer actief en beveiligingsexperts vrezen voor een wederopstanding. De komende tijd kunnen we een forse toename aan spam en phishingmails verwachten. Onderzoekers zijn bang dat er wereldwijd honderdduizenden nieuwe slachtoffers gaan vallen.
Telefoonrekening duurder? Malware koppelt abonnement aan telefoonnummer
Een nep-foto-editor, camerafilter, games en andere apps die worden gepromoot via Instagram- en TikTok-kanalen.
Hypes die worden uitgebuit
Cybercriminelen profiteren van hypes zoals Pokémon en momenteel Squid Game om malware in omloop te brengen. Vorige week werd bekend dat er malware was gevonden in de Google Play Store, vermomd als een Squid Game wallpaper-app. Dit is niet de eerste keer; oplichters maken vaker gebruik van de populariteit van virale hits om schadelijk bestanden over te dragen.
Alarmerende stijging van het aantal aanvallen met ransomware en fileless malware
"De overgrote meerderheid (91,5%) van de malware vindt zijn weg naar bedrijfsnetwerken via verbindingen met https-versleuteling."
Veel smartphones worden momenteel aangevallen
De laatste dagen maken veel Nederlanders melding van vreemde sms'jes. Er gaan twee varianten rond: de eerste variant gaat over 'gemiste oproepen en achtergelaten voicemailberichten', de tweede over 'pakketten die niet konden worden bezorgd'. De spelling van de sms'jes laat in beide gevallen vaak te wensen over, er wordt verwezen naar willekeurige, vage links én er staan vaak onlogische karakterreeksen in de tekst. Wat is dat precies? Wat zit erachter? En is er sprake van malware of oplichting?