De trojan Faketoken verstuurt aanstootgevende sms’jes

De ransomware-app gebruikt nu geïnfecteerde apparaten om op kosten van het slachtoffer sms-berichten naar het buitenland te versturen.

De vindingrijkheid van de makers van virussen kent geen grenzen. Sommige ransomware-apps hebben nu mining-mogelijkheden en sommige banking trojans persen hun slachtoffers af. Faketoken heeft wellicht een rare naam, maar deze banking trojan voor Android-apparaten vormt een serieuze bedreiging.

Faketoken: van sms-dief tot volwaardige bankier

De banking trojan Faketoken bestaat al geruime tijd: al in 2014 stond het in onze top 20 van meest verspreide mobiele dreigingen. Destijds opereerde de malware in samenwerking met banking trojans voor desktop computers. De desktop-app hackte de accounts van slachtoffers en nam geld op, en Faketoken onderschepte de sms-berichten met eenmalige wachtwoorden om de transacties te bevestigen.

In 2016 was Faketoken verworden tot een volwaardige mobiele banking trojan die rechtstreeks geld stal. Het bedekte andere apps met nepvensters die gebruikers misleidden zodat ze hun inloggegevens, wachtwoorden en bankkaartgegevens in zouden voeren. Het werkte tevens effectief als ransomware en blokkeerde de schermen van geïnfecteerde apparaten en versleutelde de gegevens daarop.

Tegen 2017 kon Faketoken tal van apps nabootsen, zoals apps voor mobiel bankieren, e-wallets zoals Google Pay, en zelfs apps voor taxidiensten en apps voor de betalingen van boetes en bekeuringen, allemaal om zo bankgegevens te stelen.

Een onverwachte wending voor Faketoken

Niet zo lang geleden detecteerde ons controlesysteem voor botnet-activiteit, Botnet Attack Tracking, dat er zo’n 5.000 smartphones die door Faketoken waren geïnfecteerd waren begonnen met het versturen van aanstootgevende sms-berichten. Dat leek ons vreemd.

De sms-mogelijkheid is in feite standaard bij mobiele-malware-apps, waarvan er veel worden verspreid door downloadlinks die naar de contacten van het slachtoffer worden verspreid. Bovendien vragen banking trojans vaak om de standaard sms-applicatie te worden, zodat ze bevestigingsberichten met codes kunnen onderscheppen. Maar banking malware die in een tool voor het versturen van massa-sms’jes verandert? Dat hadden we nooit eerder gezien.

Naar het buitenland sms’en, op uw kosten

De kosten van het versturen van sms’jes door Faketoken zijn voor de rekening van de eigenaar van het geïnfecteerde apparaat. Voordat er iets verstuurd wordt, controleert het of er genoeg saldo op de bankrekening van het slachtoffer staat. Als dat inderdaad zo is, gebruikt de malware de kaart om het saldo van het mobiele account aan te vullen vóór te beginnen met het versturen van berichten.

Veel van de door Faketoken geïnfecteerde smartphones sms’ten naar een buitenlands nummer, dus de verstuurde berichten kostten de gebruikers heel wat geld.

Bescherm uzelf tegen Faketoken

We weten nog niet of dit Faketoken-offensief een eenmalige campagne is of de start van een trend, maar zo kunt u voorkomen dat u er slachtoffer van wordt:

  • Installeer alleen applicaties die worden verspreid door Google Play en gebruik de instellingen van uw telefoon om het downloaden van apps van andere bronnen uit te schakelen.
  • Volg geen links in sms-berichten, tenzij u er zeker van bent dat deze veilig zijn (zelfs bij sms’jes van mensen die u kent). Als bijvoorbeeld iemand die normaal gesproken foto’s op social media publiceert of deze via instant messaging-apps verstuurt in plaats daarvan een sms stuurt met een link, moeten de alarmbellen gaan rinkelen.
Tips