De inventiviteit van virusmakers kent geen grenzen. Sommige ransomware apps hebben nu mijnbouw mogelijkheden, en sommige banking trojans persen hun slachtoffers af. Faketoken mag dan een maffe naam hebben, maar deze banking Trojan voor Android-apparaten is een serieuze zaak.
Faketoken: Van sms-dief tot volwaardige bankier
De banking Trojan Faketoken bestaat al een tijdje – in 2014 haalde het onze top 20-lijst van de meest wijdverspreide mobiele bedreigingen. In die tijd werkte de malware samen met desktop banking Trojans. De desktop-app hackte de accounts van slachtoffers en nam geld op, en Faketoken onderschepte sms-berichten met eenmalige wachtwoorden om de transacties te bevestigen.
Tegen 2016 was Faketoken een volwaardige mobiele banking Trojan geworden, die rechtstreeks geld steelt. Het overlaadde andere apps met nepvensters om gebruikers te verleiden hun logins, wachtwoorden en bankkaartinfo in te voeren. Het functioneerde ook effectief als ransomware, blokkeerde de schermen van de geïnfecteerde apparaten en versleutelde hun bestanden.
In 2017 kon Faketoken een heleboel apps nabootsen – apps voor mobiel bankieren, e-wallets zoals Google Pay, en zelfs apps voor taxidiensten en apps voor het betalen van boetes en straffen – om bankrekeninggegevens te stelen.
Een onverwachte wending voor Faketoken
Niet zo lang geleden ontdekte ons botnet-activiteitenbewakingssysteem – Botnet Attack Tracking – dat zo’n 5.000 smartphones die waren geïnfecteerd door Faketoken waren begonnen met het verzenden van beledigende sms-berichten. Dat leek vreemd.
SMS-capaciteit is in feite standaarduitrusting voor mobiele malware-apps, waarvan vele zich verspreiden via downloadlinks die ze naar de contacten van slachtoffers sturen. Bovendien vragen banking Trojans vaak om de standaard sms-applicatie te worden, zodat ze bevestigingscodeberichten kunnen onderscheppen. Maar voor banking malware om te veranderen in een massaal sms-tool? Dat hadden we nog nooit eerder gezien.
SMS in het buitenland – op uw kosten
Faketoken’s messaging activiteiten worden in rekening gebracht aan de geïnfecteerde apparaat eigenaren. Voordat het iets verstuurt, bevestigt het dat de slachtoffers bankrekening voldoende geld heeft. Als de rekening het geld heeft, dan gebruikt de malware de kaart om de mobiele rekening op te waarderen alvorens verder te gaan met messaging.
Veel van de smartphones die zijn geïnfecteerd door Faketoken waren aan het sms’en naar een buitenlands nummer, dus de berichten die de Trojan verstuurde kostten de gebruikers nogal wat.
Bescherm uzelf tegen Faketoken
We weten nog niet of dit Faketoken-offensief een eenmalige campagne is of het begin van een trend. Voor nu echter, om te voorkomen dat u verstrikt raakt:
- Installeer alleen applicaties die door Google Play worden gedistribueerd, en gebruik de instellingen van uw telefoon om het downloaden van apps van andere bronnen uit te schakelen.
- Volg geen links in berichten tenzij u zeker weet dat ze veilig zijn – zelfs berichten van mensen die u kent. Als iemand die normaal foto’s op sociale media plaatst of ze via instant messaging-apps verstuurt, je bijvoorbeeld in plaats daarvan een sms-bericht met een link stuurt, is dat een rode vlag.
- Installeer een betrouwbare beveiligingsoplossing. Kaspersky Internet Security for Android detecteert en blokkeert Faketoken, evenals vele andere mobiele malware-apps.