Proofpoint ziet mobiele malware met 500% toenemen in Europa

proofpoint

Vanaf begin februari dit jaar hebben onderzoekers van Proofpoint het aantal pogingen om mobiele malware te verspreiden met 500% zien stijgen in Europa. Dit is in overeenstemming met de trend van de afgelopen jaren, waarbij aanvallers steeds vaker smishing (SMS-phishing)-aanvallen uitvoeren en malware verspreiden naar mobiele apparaten. Alleen al in 2021 detecteerde Proofpoint verschillende malware-pakketten over de hele wereld. Hoewel het volume hiervan eind 2021 sterk daalde, ziet Proofpoint een opleving in 2022.

Hier volgt een overzicht van enkele van de meest voorkomende soorten mobiele malware, en eenvoudige tips voor gebruikers om zich ertegen te beschermen.

Android vs Apple

De meeste mobiele malware wordt nog steeds gedownload via app stores. Maar in het afgelopen jaar zag Proofpoint steeds meer campagnes waarbij SMS/mobiele berichten werden gebruikt om malware te leveren. Van de twee grote smartphone-platforms, Apple iOS en Android, is vooral de laatste een populair doelwit voor cybercriminelen.

Ten eerste heeft de App Store van Apple strenge kwaliteitscontroles. Daarnaast staat iOS staat sideloading niet toe. Dit is het downloaden van een app via een app store van derden of het rechtstreeks downloaden van een app.

In positieve of negatieve zin hanteert Android een open aanpak. Het platform staat open voor meerdere app stores. En gebruikers kunnen eenvoudig apps sideloaden. Het is vooral dat laatste dat het platform populair maakt bij kwaadwillenden, die weten dat Android-telefoons in slechts een paar stappen kunnen worden gecompromitteerd.

De status van mobile malware 

In de basis heeft mobiele malware hetzelfde doel als zijn tegenhanger op de pc. Zodra de schadelijke software is geïnstalleerd, wordt geprobeerd aanvallers de controle over een systeem te geven en mogelijk gevoelige informatie en inloggegevens te stelen. Het verschil zit hem vooral in de verspreidingsmechanismen en social engineering-strategieën.

Dat is nu echter aan het veranderen. Naarmate mobiele malware geavanceerder wordt, worden nieuwe soorten data gestolen, met mogelijk nog veel grotere gevolgen. Bijvoorbeeld:

  • Het opnemen van zowel telefonische als niet-telefonische gesprekken
  • Het opnemen van audio en video op het apparat
  • Vernietigen of wissen van inhoud en data

Een phishing/smishing-link probeert gebruikers te verleiden inloggegevens in te voeren op een valse inlogpagina. Malware voor internetbankieren daarentegen is vaak op de achtergrond aanwezig totdat de gebruiker een financiële app gebruikt. Op dat moment pakt de malware zijn kans om inloggegevens of informatie te stelen. Ondertussen denken slachtoffers dat ze veilig bezig zijn met de echte bankieren-app die op hun apparaat is geïnstalleerd.

Veelvoorkomende mobiele malware

Mobiele malware beperkt zich niet tot één specifieke regio of taal. In plaats daarvan stemmen aanvallers hun campagnes af op allerlei talen, regio's en apparaten. 

Het Cloudmark Mobile Threat Research-team van Proofpoint ziet aanvallen opduiken in regio's over de hele wereld. Daarbij worden allerlei methoden gebruikt om de malware op apparaten te verspreiden. Deze aanvallen hebben gevolgen voor gebruikers over ter wereld en de omvang en mogelijkheden van die aanvallen nemen steeds verder toe. Hieronder twee voorbeelden.

FluBot

Deze geraffineerde, wormachtige malware werd voor het eerst aangetroffen in november 2020. De eerste detecties vonden plaats in Spanje, voordat de malware zich verspreidde naar andere landen, waaronder het Verenigd Koninkrijk en Duitsland. 

FluBot verspreidt zich door toegang te krijgen tot de contactenlijst of het adressenboek van het geïnfecteerde apparaat en stuurt de informatie door naar een command-and-control (C&C)-server. De C&C-server geeft het apparaat vervolgens opdracht nieuwe geïnfecteerde berichten te versturen naar contacten op de lijst.

Wanneer specifieke apps worden gebruikt, laat FluBot de gebruikers een scherm zien dat is ontworpen om gebruikersnamen en wachtwoorden van banken en andere sites te stelen.

TeaBot

TeaBot werd voor het eerst waargenomen in Italië en is een multifunctionele Trojan die inloggegevens en berichten kan stelen, maar ook de inhoud van het scherm van een besmet apparaat kan streamen naar de aanvaller. De malware is zo ingericht dat hij inloggegevens kan stelen via de apps van meer dan 60 Europese banken en ondersteunt meerdere talen. Het heeft onder meer financiële instellingen in Spanje en Duitsland aangevallen.

TeaBot verspreidt zich via sms-berichten, net zoals FluBot. TeaBot maakt intensief gebruik van keylogging en kan Google Authenticator-codes onderscheppen. Deze twee kenmerken maken het tot een krachtig middel om accounts te kraken en geld van slachtoffers te stelen. 

Beveiligingstips

Mobiele malware ontwikkelt zich razendsnel en er komen steeds nieuwe spelers en nieuwe mogelijkheden bij. Bewustwording is cruciaal - maar veel gebruikers zijn zich nog steeds niet bewust van de omvang van het gevaar van mobiele malware.

Om apparaten te beschermen, moeten gebruikers op hun hoede zijn voor onverwachte of ongevraagde berichten met links, URL's of verzoeken waarin om data wordt gevraagd. En net als bij pc's en laptops is het een goed idee om een mobiele antivirus-app van een betrouwbare bron te gebruiken. Vergeet ten slotte niet om spam, smishing en mogelijke malware te melden.

Lees ook
Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.

Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan

Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan

Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.

Nerbian RAT gebruikt COVID-19 als dekmantel

Nerbian RAT gebruikt COVID-19 als dekmantel

Sinds eind april 2022 hebben onderzoekers van Proofpoint een malwarecampagne waargenomen via e-mail, genaamd Nerbian RAT. Een klein aantal e-mails (minder dan 100 berichten) werden naar meerdere sectoren gestuurd, waarbij vooral organisaties in Italië, Spanje en het VK werden getroffen.