TAN-code ING phishing via mobiele malware

TAN-code ING phishing via mobiele malware

DearBytesAlertsTAN-code ING phishing via mobiele malware

DearBytes ontvangt regelmatig phishing e-mails waarmee geprobeerd wordt om malware te installeren op een apparaat. DearBytes onderzoekt deze phishing aanvallen om zo inzage te verkrijgen in het handelen van kwaadwillenden. Onlangs ontvingen wij een ING phishing bericht waarbij een slachtoffer doorgestuurd werd naar een nagemaakte ING website. Het e-mailbericht zag er als volgt uit:

ING phishing mail

ING phishing mail
De link in het e-mailbericht verwijst naar “hxxp://ne.mcclellan.org/ing/”. Wij hebben deze website benaderd, gebruikmakend van Internet Explorer. Dit was noodzakelijk, aangezien de website controleert met welke browser deze bekeken wordt. Een redenering hierachter kan zijn dat ervaren internetgebruikers geen gebruik maken van Internet Explorer. Op deze manier zien minder mensen de site en is de kans van detectie lager. De volgende nagemaakte ING-website verscheen:

ING phishing pagina

ING phishing 1

Deze website ziet er exact hetzelfde uit als de originele ING-website. Er is echter één verschil, er is een veld “Mobiel nummer” toegevoegd welke ingevuld dient te worden door het slachtoffer. Wij zijn ingelogd en vervolgens verscheen er een webpagina met vervolg instructies:

 

ING phishing 2

Malware Android app

Uit bovenstaande instructies kan opgemaakt worden dat de criminelen willen dat er een app geïnstalleerd wordt op de mobiele telefoon van het slachtoffer. Wij hebben het APK-bestand gedownload (hxxp://app.uscpa.com/ing.apk) en vervolgens geanalyseerd om de functionaliteiten te achterhalen. Na het decompileren van de app, kregen we toegang tot de broncode van de app. Hier viel direct op dat er een component, genaamd “DroidJack” aanwezig was.

phishing malware apk

DroidJack is een remote access trojan (RAT) die speciaal geschreven is voor Android toestellen. DroidJack is voor iedereen verkrijgbaar en kost $210. Een kwaadwillende kan met DroidJack onder andere de volgende informatie van een Android telefoon opvragen:

  • Bestanden
  • SMS
  • Belhistorie
  • WhatsApp berichten
  • Contacten
  • Browser geschiedenis
  • Microfoon inschakelen
  • Camera inschakelen

Naast het decompileren hebben wij de app ook geïnstalleerd op een Android omgeving. Onderstaande schermafdrukken geven de stappen tijdens de installatie weer.

ING phishing android malware installatie 1ING phishing android malware installatie 2

Na het openen van de app, sluit deze zich direct weer af. Op de achtergrond blijft deze echter wel actief als service. Ook hieruit blijkt dat het hoofdproces DroidJack betreft:
ING phishing android malware 1
Doordat de applicatie als service actief blijft, hebben de criminelen continu toegang tot het Android apparaat. Zo kunnen criminelen op verschillende manieren geld verdienen, zoals het versturen van SMS-berichten naar dure servicenummers die in hun eigen bezit zijn.

DearBytes heeft het door de applicatie gegenereerde internetverkeer geanalyseerd. Daarnaast hebben we TAN-code SMS-berichten verstuurd naar ons toestel, om vast te stellen of deze doorgestuurd worden naar de criminelen.

ING phishing android malware 2

DroidJack:

Uit de analyse werd bekend dat de server communiceert met een Nederlandse server “service.zosys.net” (5.56.133.152) op poort 1337. Poort 1337 is de standaard poort van DroidJack. Naar dezelfde server is eveneens communicatie geweest via poort 1334.

Daarnaast is er ook communicatie gezien met de server “andromed.ddns.net” (192.99.73.133) op poort 80. Hierbij werd er een POST uitgevoerd op “/Access/DJ6.php” met daarin een “hid” waarde.

Op deze server, zijn nog meer bestanden aangetroffen, namelijk:

  • /Access/DJ5.php
  • /Access/DJ4.php

Deze bestanden worden mogelijk eveneens gebruikt voor “DroidJack”, waar mogelijk “DJ” uit de bestandsnaam op wijst. Er is ook een “/files/” map aangetroffen die verschillende downloads bevat:

phishing directory

We hebben niet vast kunnen stellen dat de TAN-codes zijn doorgestuurd. Een mogelijke oorzaak hiervan kan zijn dat de criminelen de Android emulator gedetecteerd hebben.

Waarom willen cybercriminelen een telefoon infecteren?

De vraag is natuurlijk, waarom zouden deze criminelen je telefoon willen infecteren met dit soort malware? Het antwoord is simpel. Omdat ze betalingen naar andere bankrekeningen willen uitvoeren via jouw telefoon.

Hoe doen ze dit?

In eerste instantie vragen ze bij het inloggen naar jouw telefoonnummer en vervolgens leggen ze het verband tussen de geïnfecteerde telefoon en de opgegeven gebruikersnaam- en wachtwoordcombinatie. Bij een betaling vanuit ING worden in sommige gevallen TAN-codes verstuurd via een SMS-bericht. Wanneer het slachtoffer een betaling uitvoert vangen de criminelen deze TAN-code op. Zo stellen zij zichzelf in staat om via jouw telefoon een betaling uit te voeren naar een andere bankrekening.

Wat kunt u doen tegen Phishing?

Bestand zijn tegen Phishing aanvallen komt in veel gevallen neer op het herkennen ervan. Let bijvoorbeeld op het taalgebruik, op de afzender en op de links die in een phishingbericht aanwezig zijn. DearBytes heeft een flyer beschikbaar gesteld met tips om phishing e-mail te herkennen, zodat dit kan bijdragen aan de awareness van uw werknemers.

Op het moment dat u bent ingelogd in bovenstaande ING phishing pagina is het van belang om zo snel mogelijk uw gebruikersnaam en wachtwoord aan te passen, transacties te controleren en eventueel contact op te nemen met uw bank. Meer tips van de ING zijn hier te vinden.

Als u bovenstaande app geïnstalleerd heeft, dan is het van belang om deze direct te verwijderen. De beste oplossing is om de telefoon in zijn geheel opnieuw te installeren, om te voorkomen dat er iets van de malware achterblijft.