Nederlandse bank-apps doelwit van volautomatische Android-malware

[Black Tiger]

De apps van verschillende Nederlandse banken zijn het doelwit van Android-malware die volautomatisch geld van bankrekeningen kan stelen. Dat laat securitybedrijf ThreatFabric in een analyse van de Xenomorph-malware weten. De malware wordt geïnstalleerd via een onschuldig lijkende app genaamd CoinCalc. Deze app vraagt gebruikers om een update of plug-in te installeren die zich voordoet als Google Protect, maar in werkelijkheid de malware is.

Eenmaal actief maakt Xenomorph gebruik van het ATS (Automated Transfer Systems) framework om de bankfraude te plegen. Via ATS is het mogelijk om de diefstal van inloggegevens, opvragen van het saldo van de rekening, stelen van MFA-tokens en afronden van de transacties volledig te automatiseren, zonder enige tussenkomst van een menselijke operator.

Volgens ThreatFabric nemen banken geleidelijk afscheid van sms voor multifactorauthenticatie. In plaats daarvan wordt er gebruikgemaakt van authenticator-apps. Vaak worden dergelijke apps op hetzelfde toestel gebruikt waarop de transactie plaatsvindt. Malware op een besmette telefoon kan een frauduleuze transacties uitvoeren, waarbij het gebruikmaakt van de aanwezige bank-app en op hetzelfde moment de MFA-code uit de authenticator-app uitleest. In totaal kan de malware fraude met vierhonderd bank-apps plegen, waaronder die van ABN Amro en ING.

@Bron: security.nl

 

[sat-ed]

leuk he alles digitaal lol
volgende is je rijbewijs en je identiteit

 

[Black Tiger]

Ja ze denken toch dat alles veilig is en men moet via de telefoon. En wat hadden ze nu gedacht? Dat als ze mensen aanwennen onderweg via de telefoon te bankieren "omdat het zo handig en veilig is", dat de mensen een aparte tweede telefoon gaan aanschaffen voor een authenticator app? Mafklazen.
Totaal niet over nagedacht. Het was gewoon wachten hierop. Ik moet nog een 5 cijferige pincode invoeren om in de app te komen en voor transacties uit te voeren.
Maar ik ben er nooit voorstander van geweest om alles maar op een telefoon te doen.

Ze willen teveel naar smartphones toe en mensen min of meer verplichten zo'n ding te kopen, terwijl de veiligheid duidelijk niet gegarandeerd kan worden.

 

[mimisiku]

Geen enkel punt: mijn bankrekening is altijd leeg…

 

[Dr.Z]

Het digitale rijbewijs wil europa op de telefoon hebben, met de digitale ID en alles via de telefoon.... No way dus!!

 

[sat-ed]

Ze willen teveel naar smartphones toe en mensen min of meer verplichten zo'n ding te kopen

Welke bank kun je nog normaal je bank zaken doen zonder wen wisi wassie?

 

[Black Tiger]

Er zijn nog enkele banken waarmee je met zo'n soort calculator en bankpas gewoon op je pc kunt inloggen.
Maar dat worden er minder en ook die willen dat veranderen.

 

[Peer]

Maar ik ben er nooit voorstander van geweest om alles maar op een telefoon te doen.

Zelf ben ik ook lang sceptisch geweest, maar sinds vorig jaar toch de bankapp geïnstalleerd. Nu installeer ik ook alleen maar officiële apps en heb ik Malwarebytes als digitale waakhond op mijn telefoon, dus hopelijk is dat veilig genoeg.

 

[janblues]

En wat te denken van de overheid.
Dan moet een pc en een telefoon hebben om codes over te kunnen nemen.
Door die toestanden word ik al een beetje kaal. En geplukt.

 

[Peer]

Het digitale rijbewijs wil europa op de telefoon hebben, met de digitale ID en alles via de telefoon.... No way dus!!

Mits het goed beveilig is ben ik daar wel voorstander van. Elk pasje wat ik thuis kan laten is er weer een. Maar ik ben ook wel voorstander van een vrije keus om zowel het pasje als de app op de telefoon te gebruiken.

 

[sat-ed]

Mits het goed beveilig is

dat is nooit 100%

Elk pasje wat ik thuis kan laten is er weer een

heb je een punt alleen geef je de regie uit handen (lees gedwongen)

digid is al achterhaald we gaan straks naar idin
rdw is al druk bezig je rijbewijs te digitaliseren
overheid is al compleet digitaal mits je stampij gaat maken.
betaald parkeren is in 99% ook met pasje en geen muntgeld meer wat wel een wettelijk betaal middel is trouwens.. maar voor hoelang weet niemand.
nog ff en je krijgt bij geboorte een chip ingepland..

 

[Peer]

betaald parkeren is in 99% ook met pasje

Daar ben ik een aantal jaar geleden voor overgestapt op Yellowbrick. Nooit gedoe met muntgeld, gewoon de app activeren en stoppen zodra je weg ga.

 

[Peer]

heb je een punt alleen geef je de regie uit handen (lees gedwongen)

Daarom ben ik er ook een voorstander van om zelf te mogen kiezen of je een app wilt gebruiken of toch liever het fysieke rijbewijs aan mag houden.