Een securitybedrijf heeft malware gevonden in een Android-app in de Google Play Store. De malware is in staat om via mobielbankierenapps zonder tussenkomst van de mens geld van bankrekeningen te stelen.
Android-app bevat malware
Het securitybedrijf ThreatFabric (via Security.nl) ontdekte de zogenaamde Xenomorph-malware in een Android-app van de bekende ontwikkelaar Sam Ruston. Deze man heeft onder andere Hurry - Daily Countdown, BuzzKill - Phone Superpowers en Flamingo gemaakt. De app waar het om gaat heet CoinCalc en zodra deze op een telefoon is geïnstalleerd vraagt ze gebruikers om een update of plug-in te installeren die zich voordoet als Google Play Protect.
Google Play Protect checkt apps als je deze installeert. De functie scant ook regelmatig je apparaat. Als er een potentieel schadelijke app wordt gevonden, kan Google Play Protect het volgende doen:
- Je een melding sturen. Als je de app wilt verwijderen, tik je op de melding en vervolgens op Verwijderen.
- De app uitzetten totdat je deze verwijdert.
- De app automatisch verwijderen. Als er een schadelijke app wordt gedetecteerd, ontvang je meestal een melding waarin staat dat de app is verwijderd.
Play Protect staat dus al op Android-apparaten, en als een app vraagt om het te downloaden, dan is er iets niet in de haak. Volgens ThreatFabric is dat ook het geval voor CoinCalc. De Xenomorph-malware in de app maakt gebruik van het ATS (Automated Transfer Systems) framework om via bank-apps geld te stelen van bankrekeningen. ATS maakt het namelijk mogelijk om inloggegevens en saldogegevens op te vragen. Daarnaast kunnen multifactorauthenticatie-tokens wordt gestolen en transacties volledig geautomatiseerd worden. Zonder dat er een mens aan te pas komt.
En tweestapsauthenticatie dan?
ThreatFabric geeft aan dat banken tweestapsauthenticatie via sms geleidelijk inwisselen voor multifactorauthenticatie. Die beveiligingslaag is niet altijd veilig gebleken zo blijkt uit een onderzoek waarbij criminelen makkelijk je Google-account kunnen hacken als de schermvergrendeling met een pincode is beveiligd. Bij tweestapsauthenticatie wordt er vaak gebruik gemaakt van authenticator-apps die op dezelfde telefoon staan als de banken-app. Op deze manier kan de malware frauduleuze transacties uitvoeren op de telefoon.
Volgens de analyse van ThreatFabric kan de Xenomorph-malware in CoinCalc deze gevoelige informatie uit 400 bank-apps stelen.
