2min Security

Tientallen namaaktelefoons in Nederland met ingebouwde malware

Tientallen namaaktelefoons in Nederland met ingebouwde malware

In Nederland circuleren zeker tientallen op Android-gebaseerde namaaktelefoons met zeer gevaarlijke ingebouwde malware. Het werkelijke aantal kan nog veel hoger liggen.

Dat zegt virusbestrijder Kaspersky. De toestellen zijn besmet met de Triada-malware en die zit diep in de systeemfirmware ingebed. De malware opereert onopgemerkt en geeft aanvallers intussen volledige controle over de toestellen.

Het bedrijf vermoedt de namaaktelefoons ergens in de logistieke keten worden gecompromitteerd. Winkels weten daardoor mogelijk zelf niet dat ze besmette namaaktoestellen aanbieden. Kaspersky detecteerde onder gebruikers van hun eigen beveiligingssoftware intussen meer dan 4500 besmette Androidtelefoons. Driekwart daarvan zit in Rusland. Nederland staat op de derde plek in het overzicht, met inmiddels zo’n tachtig detecties van dit soort toestellen.

Begin deze maand kwam het bedrijf al met waarschuwingen voor deze malware, maar komt nu met meer details en cijfers. Doordat de malware in het systeemframework zelf zit heeft het toegang tot elk actief proces. Daardoor is berichten van chatapps en socialmedia-accounts stelen een peulenschil. De malware kan in jouw naam ook berichten versturen en verwijderen in apps.

Namaaktelefoons die uit jouw naam cryptotransactie doen

Zo kunnen aanvallers malware gebruiken waarmee aanvallers volledige toegang kunnen krijgen tot bijvoorbeeld je WhatsApp-account. Of adressen van cryptowallets vervangen als eigenaren van besmette telefoons een cryptotransactie doen, of links in de browser injecteren, sms-berichten onderscheppen of verwijderen. Het systeem kan vanzelf ook aanvullende malware installeren en slachtoffers vervolgens aanmelden voor premium sms-diensten, met hoge rekeningen tot gevolg.

Er gaan geruchten dat de verspreiders van die telefoons al zeker al 276.000 dollar hebben gestolen. Dat is gebeurd door aanpassing van de adressen van cryptowallets in het clipboard van besmette telefoons.

De malware is ook in staat om authenticatiecookies voor Facebook te stelen of authenticatietokens voor Telegram buit te maken. Ook gegevens van TikTok-accounts zijn niet veilig. Het bedrijf vermoedt dat ze het topje van de ijsberg te pakken hebben, maar om hoeveel toestellen het daadwerkelijk gaat is nog niet duidelijk. En ook het schadebedrag kan dus flink oplopen.

Tip:

  • Onbekende hardwarefunctie ontdekt door Kaspersky