Doelwit: je bank-app

Android-virus treft tienduizenden Nederlanders, verspreid via pakket-smsjes

26 mei 2021 14:29 Aangepast: 26 mei 2021 22:17
Beeld © RTL Nieuws

Een gevaarlijk Android-virus heeft tienduizenden Nederlandse smartphones overgenomen en probeert geld van bankrekeningen te stelen. Het virus wordt verspreid via sms'jes waarin staat dat je een pakket kunt volgen.

De afgelopen dagen is er een grote toename te zien in het aantal sms-berichten dat wordt verstuurd. Naast banken waarschuwt ook de politie er vandaag voor. 

In het sms-bericht staat dat er een pakket naar je verstuurd is en dat je het pakket kunt volgen via een app van bijvoorbeeld UPS of DHL. De app vind je niet in de app-winkel van Google maar moet je handmatig installeren. Als je dat hebt gedaan, is je telefoon geïnfecteerd met de malware. 

Geld stelen

Tienduizenden mensen hebben de afgelopen tijd deze nep-Android-app van UPS of DHL geïnstalleerd en daarmee hun telefoon besmet met dit virus. De malware probeert geld van je bankrekening te stelen door bij een overboeking stiekem het bedrag en de ontvanger aan te passen. Een slachtoffer merkt deze truc pas als hij naar het saldo of de afschrijvingen kijkt. 

Zo ziet de website eruit waar je naartoe wordt gestuurd. Zo ziet de website eruit waar je naartoe wordt gestuurd.

Als de malware op je telefoon staat is de kans groot dat je bankrekening wordt geplunderd, stelt Cengiz Han Sahin van cybersecuritybedrijf ThreatFabric, dat voor Nederlandse banken mobiele dreigingen in de gaten houdt. "De malware zit goed in elkaar, weet precies welke bank-app je gebruikt en past daar zijn aanval op aan." 

Het gaat om twee soorten malware: Anatsa en Flubot, die beide via de sms-berichten en nep-post-apps worden verspreid. De malware past ongemerkt het bedrag en rekeningnummer in de bank-app aan, waardoor je in plaats van 50 euro naar een vriend opeens duizenden euro's naar een buitenlandse rekening overboekt.

Daarnaast kijkt de malware of je een app voor cryptocurrencies op je telefoon hebt om ook die rekeningen te plunderen. 

Hoe weten ze mijn 06-nummer?

Als de malware op een Android-telefoon staat, verzamelt hij alle 06-nummers uit de contactenlijst. Deze 06-nummers ontvangen dan ook zo'n sms van telefoons die zijn besmet met de malware. Op die manier verspreiden de berichten zich in een rap tempo. Daarnaast worden de berichten ook naar willekeurige nummers verstuurd.

Slecht Nederlands

De sms-berichten zijn vaak niet in correct Nederlands geschreven, bijvoorbeeld 'volg uw pakket hoer' in plaats van 'volg uw pakket hier'. Volgens Sahin werkt de automatische vertaling niet voldoende, maar ondanks dat trappen er nog wel tienduizenden mensen in. Er is vooralsnog ook geen PostNL-app nagemaakt, wat erop duidt dat de Nederlandse markt niet heel belangrijk is voor de cybercriminelen.

"Maar als je een pakket verwacht, dan kan ik me voorstellen dat je uit nieuwsgierigheid toch op zo'n bericht klikt", vertelt Sahin. "En we gebruiken steeds vaker apps van pakketbezorgbedrijven, dus het installeren van zo'n app is natuurlijk niet heel gek. Belangrijk is dat je dan wel altijd apps uit Googles app-winkel Google Play installeert."

Een sms-bericht dat wordt verstuurd om de malware te verspreiden. Een sms-bericht dat wordt verstuurd om de malware te verspreiden.

Is mijn Android-telefoon geïnfecteerd?

Als je niet meer weet of je op zo'n berichtje hebt gedrukt en de nep-app van UPS of DHL hebt geïnstalleerd, dan kun je via de instellingen van je telefoon erachter komen. De malware blokkeert de toegang tot jouw lijst met apps, die je veelal vindt via Instellingen > Apps en meldingen en vervolgens eventueel op Alle apps bekijken. Als de toegang tot die lijst wordt geblokkeerd, is je telefoon hoogstwaarschijnlijk geïnfecteerd met de malware.

Dit kun je doen

De malware infecteert alleen Android-telefoons. Mensen met een iPhone kunnen wel zo'n sms-bericht ontvangen, maar zelfs al zou je de app downloaden, loopt je toestel geen gevaar. Voor Android-gebruikers geldt dat alleen het klikken op de link niet direct gevaarlijk is, maar het installeren van de app wel. 

Als je telefoon is besmet met de malware, dan zit er eigenlijk maar één ding op: de smartphone naar de fabrieksinstellingen terugzetten. "Het is vrij lastig om de malware helemaal van je telefoon te krijgen zonder die reset", stelt Sahin. Dat betekent wel dat je de gegevens op je telefoon verliest, zoals foto's en WhatsApp-berichten, als je daar geen back-up van hebt. 

'Ineens stond er een app op mijn telefoon'

Leonie uit Hattem kreeg ook een nep-sms van bezorgdienst DHL. "Wij bestellen nogal wat, dus ik dacht dat er weer een pakketje onderweg was." Ze klikte op de link. "Er was niets geks aan. Het ging allemaal heel snel en ineens stond er een app op mijn telefoon." 

Aanvankelijk had ze niets door. Tot ze op haar werk ineens allerlei berichtjes in haar scherm zag verschijnen. Onbekende nummers probeerden haar te bellen. "Ik kreeg appjes van mensen die zeiden dat ze de politie gingen bellen." Toen begon bij Leonie iets te dagen.

Op de app van haar provider zag ze dat met haar telefoon bijna 2000 sms'jes verstuurd waren. "In totaal iets van 700 naar binnenlandse nummers en bijna 1300 naar buitenlandse nummers." Ze schrok zich wezenloos. "Ik ben best alert op die dingen. En ik had niet gedacht dat mij dit zou overkomen. Ik klik nooit op sms-berichten, maar ja, dit was een pakketje en voor ons niet vreemd."

Leonie zette haar telefoon vervolgens meteen terug naar de fabrieksstand. "Ik heb nu bijna alles weer terug op mijn telefoon gezet vanuit mijn back-up. Ik heb alle wachtwoorden gewijzigd, maar ik durf nog steeds niet op de app van mijn bank." In totaal hebben de berichten haar 49 euro gekost. "Als ik geen onbeperkt abonnement had gehad, denk ik dat de kosten nog wel een heel stuk hoger waren geweest." Ze heeft aangifte gedaan bij de politie.

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore