Vanaf begin februari dit jaar hebben onderzoekers van Proofpoint het aantal pogingen om mobiele malware te verspreiden met 500% zien stijgen in Europa. Dit is in overeenstemming met de trend van de afgelopen jaren, waarbij aanvallers steeds vaker smishing (SMS-phishing)-aanvallen uitvoeren en malware verspreiden naar mobiele apparaten. Alleen al in 2021 detecteerde Proofpoint verschillende malware-pakketten over de hele wereld. Hoewel het volume hiervan eind 2021 sterk daalde, ziet Proofpoint een opleving in 2022.
Afbeelding 1: Meldingen van mobiele malware laten flinke pieken zien in februari 2022.
Hier volgt een overzicht van enkele van de meest voorkomende soorten mobiele malware, en eenvoudige tips voor gebruikers om zich ertegen te beschermen.
Android vs Apple
De meeste mobiele malware wordt nog steeds gedownload via app stores. Maar in het afgelopen jaar zag Proofpoint steeds meer campagnes waarbij SMS/mobiele berichten werden gebruikt om malware te leveren. Van de twee grote smartphone-platforms, Apple iOS en Android, is vooral de laatste een populair doelwit voor cybercriminelen.
Ten eerste heeft de App Store van Apple strenge kwaliteitscontroles. Daarnaast staat iOS staat sideloading niet toe. Dit is het downloaden van een app via een app store van derden of het rechtstreeks downloaden van een app.
In positieve of negatieve zin hanteert Android een open aanpak. Het platform staat open voor meerdere app stores. En gebruikers kunnen eenvoudig apps sideloaden. Het is vooral dat laatste dat het platform populair maakt bij kwaadwillenden, die weten dat Android-telefoons in slechts een paar stappen kunnen worden gecompromitteerd.
De status van mobile malware
In de basis heeft mobiele malware hetzelfde doel als zijn tegenhanger op de pc. Zodra de schadelijke software is geïnstalleerd, wordt geprobeerd aanvallers de controle over een systeem te geven en mogelijk gevoelige informatie en inloggegevens te stelen. Het verschil zit hem vooral in de verspreidingsmechanismen en social engineering-strategieën.
Dat is nu echter aan het veranderen. Naarmate mobiele malware geavanceerder wordt, worden nieuwe soorten data gestolen, met mogelijk nog veel grotere gevolgen. Bijvoorbeeld:
- Het opnemen van zowel telefonische als niet-telefonische gesprekken
- Het opnemen van audio en video op het apparat
- Vernietigen of wissen van inhoud en data
Een phishing/smishing-link probeert gebruikers te verleiden inloggegevens in te voeren op een valse inlogpagina. Malware voor internetbankieren daarentegen is vaak op de achtergrond aanwezig totdat de gebruiker een financiële app gebruikt. Op dat moment pakt de malware zijn kans om inloggegevens of informatie te stelen. Ondertussen denken slachtoffers dat ze veilig bezig zijn met de echte bankieren-app die op hun apparaat is geïnstalleerd.
Veelvoorkomende mobiele malware
Mobiele malware beperkt zich niet tot één specifieke regio of taal. In plaats daarvan stemmen aanvallers hun campagnes af op allerlei talen, regio's en apparaten.
Afbeelding 2: Mobiele malware-typen, hun functionaliteit en de regionale spreiding
Het Cloudmark Mobile Threat Research-team van Proofpoint ziet aanvallen opduiken in regio's over de hele wereld. Daarbij worden allerlei methoden gebruikt om de malware op apparaten te verspreiden. Deze aanvallen hebben gevolgen voor gebruikers over ter wereld en de omvang en mogelijkheden van die aanvallen nemen steeds verder toe. Hieronder twee voorbeelden.
FluBot
Deze geraffineerde, wormachtige malware werd voor het eerst aangetroffen in november 2020. De eerste detecties vonden plaats in Spanje, voordat de malware zich verspreidde naar andere landen, waaronder het Verenigd Koninkrijk en Duitsland.
FluBot verspreidt zich door toegang te krijgen tot de contactenlijst of het adressenboek van het geïnfecteerde apparaat en stuurt de informatie door naar een command-and-control (C&C)-server. De C&C-server geeft het apparaat vervolgens opdracht nieuwe geïnfecteerde berichten te versturen naar contacten op de lijst.
Wanneer specifieke apps worden gebruikt, laat FluBot de gebruikers een scherm zien dat is ontworpen om gebruikersnamen en wachtwoorden van banken en andere sites te stelen.
Afbeelding 3: Een nep voicemailbericht gebruikt om FluBot te verspreiden.
TeaBot
TeaBot werd voor het eerst waargenomen in Italië en is een multifunctionele Trojan die inloggegevens en berichten kan stelen, maar ook de inhoud van het scherm van een besmet apparaat kan streamen naar de aanvaller. De malware is zo ingericht dat hij inloggegevens kan stelen via de apps van meer dan 60 Europese banken en ondersteunt meerdere talen. Het heeft onder meer financiële instellingen in Spanje en Duitsland aangevallen.
TeaBot verspreidt zich via sms-berichten, net zoals FluBot. TeaBot maakt intensief gebruik van keylogging en kan Google Authenticator-codes onderscheppen. Deze twee kenmerken maken het tot een krachtig middel om accounts te kraken en geld van slachtoffers te stelen.
Afbeelding 4: Een frauduleuze voicemail-webpagina gebruikt om TeaBot te verspreiden.
Beveiligingstips
Mobiele malware ontwikkelt zich razendsnel en er komen steeds nieuwe spelers en nieuwe mogelijkheden bij. Bewustwording is cruciaal - maar veel gebruikers zijn zich nog steeds niet bewust van de omvang van het gevaar van mobiele malware.
Om apparaten te beschermen, moeten gebruikers op hun hoede zijn voor onverwachte of ongevraagde berichten met links, URL's of verzoeken waarin om data wordt gevraagd. En net als bij pc's en laptops is het een goed idee om een mobiele antivirus-app van een betrouwbare bron te gebruiken. Vergeet ten slotte niet om spam, smishing en mogelijke malware te melden.