Sms-aanvallen en mobiele malwarebedreigingen

Definitie van sms-aanvallen

Sms-aanvallen zijn schadelijke bedreigingen waarbij via sms (short message service) en andere mobiele berichtenapplicaties cyberaanvallen worden uitgevoerd. Bij deze aanvallen wordt gebruikgemaakt van kwaadaardige software en websites om schade toe te brengen aan gebruikers.

Met sms-aanvallen kunnen privégegevens worden gestolen en kan malware worden verspreid naar andere gebruikers. Er zijn veel tools beschikbaar om aanvallen via sms en andere berichtenverkeersservices uit te voeren. Meestal is kwaadaardige software, of malware, de gebruikte methode.

Wat is sms-malware?

Sms-malware is in wezen kwaadaardige software die via sms-berichten bij slachtoffers terechtkomt.

Hoewel malware via e-mail en andere methoden op mobiele apparaten terechtkomt, wordt sms-malware overgebracht met sms'jes. Geprobeerd wordt om met deze kwaadaardige software inbreuk te maken op een mobiel apparaat zonder toestemming van de gebruiker en dit apparaat te gebruiken.

Zodra de malware op een apparaat staat, kan dit op verschillende manieren ernstige gevolgen hebben. Meestal gaat het hierbij om de volgende categorieën:

• Toegang: toegang verkrijgen tot of weigeren van privéaccounts, services, enz.
• Onrechtmatig gebruik: een mobiel apparaat of services gebruiken voor onrechtmatig gebruik
• Gegevens openbaar maken: privégegevens van de gebruiker afkomstig van het mobiele apparaat, accounts, etc. openbaar maken.
• Verwijderen: gegevens verwijderen van een mobiel apparaat, services, enz.
• Wijzigingen aanbrengen: de gegevens op een ongewenste manier aanpassen op de apparaten, services, etc. van een gebruiker.

Alle mobiele apparaten zijn kwetsbaar als het aankomt op sms-malware en aanvallen via tekstberichten. Vaak maken de geïnfecteerde apparaten gebruik van het Android-platform van Google, aangezien de meeste smartphones en tablets op de wereld hier gebruik van maken. Hoewel dit intensief gebruikte platform het ideale doelwit is voor hackers, kan sms-malware ook het iOS-systeem van Apple treffen, ondanks de misvatting dat er geen malware op iOS voorkomt.

Deze bedreigingen laten juist goed zien hoe belangrijk het is om anti-malwaretoepassingen op mobiele apparaten te hebben.

Het aantal malwarebedreigingen via sms'jes blijft groeien en ze zullen ook de komende jaren een groot risico blijven vormen voor mobiele gebruikers. Sms-aanvallen, maar ook andere bedreigingen, vormen een groot gevaar voor alle gebruikers van mobiele apparaten.

Hoe werkt een sms-aanval?

Bij sms-aanvallen worden schadelijke URL's (links) via sms-berichten verstuurd. De links leiden meestal naar een website of downloadbestand. Gebruikers die deze links openen, hebben vaak niet in de gaten dat ze hiermee schadelijke code downloaden of gevoelige informatie vrijgeven.

Een dreigingsactor gaat meestal in deze volgorde te werk om een sms-aanval uit te voeren:

1. Voorbereiden: verzamelen en instellen van de noodzakelijke bronnen om een cyberaanval uit te voeren.
2. Verspreiden: kwaadaardige berichten via sms of berichtenapps sturen naar gebruikers.
3. Exploiteren: gebruikers die niets in de gaten hebben, komen door interactie in aanraking met de bedreiging en worden vervolgens gehackt.
4. Uitvoeren: de gewenste acties uitvoeren op een gehackt apparaat om het doel van de sms-aanval te bewerkstelligen.

Aanvallers zoeken naar manieren om een bedreiging te delen via een mobiel netwerk met abonnees. Ze moeten ook kanalen opzetten die kwaadaardige software leveren of gebruikersgegevens verzamelen. Wanneer hackers eenmaal een manier hebben gevonden om schadelijke berichten te verspreiden, stellen ze gebruikers bloot aan de bedreiging.

In tegenstelling tot sommige andere bedreigingen worden sms-aanvallen ontwikkeld met het oog op social-engineeringtactieken om slachtoffers er zelf toe te bewegen actie te ondernemen. Een van de belangrijkste middelen die aanvallers daarbij gebruiken is een gevoel van urgentie creëren dat ervoor zorgt dat het slachtoffer snel tot actie overgaat. Nadat een gebruiker een link heeft geopend, kan de aanvaller doen wat hij wil met het apparaat en de daarmee verbonden services van de gebruiker.

Houd er rekening mee dat niet alle sms-aanvallen dezelfde aanvalsstructuur gebruiken. Maar de aanvallen die vaak plaatsvinden, maken gebruik van het hierboven uitgelegde 'distributie- en exploitatiemodel'.

Als gevolg hiervan kunnen sms-aanvallen direct gevolgen hebben voor gebruikers en kunnen ze de berichtenservice van een mobiel apparaat of de reputatie van een provider voor berichtenverkeer schade toebrengen en netwerken overbelasten.

Hoe wordt sms-malware verspreid?

Sms-malware wordt verspreid wanneer de aanval begint en bij daaropvolgende infecties door gebruikers. Als je puur let op de naam, lijkt het alsof sms-malware bestaat uit het op schadelijke manier gebruiken van sms (of een andere mobiele tekstberichtenservice) en malware.

Hoewel de naam suggereert dat de aanvallen alleen via sms'jes plaatsvinden, kan de malware ook op andere manieren worden verspreid. Initiële en latere infectievectoren kunnen worden ingezet via applicaties voor berichtenverkeer, waaronder berichtenservices op basis van mobiele gegevens, zoals WhatsApp, Apple iMessage en Facebook Messenger.

In sommige gevallen slaat sms-malware toe buiten sms. E-mails, websites en andere netwerkservices kunnen malware verspreiden die sms-aanvallen veroorzaakt. Dit kan er vervolgens toe leiden dat sms-malware via gebruikers wordt verspreid, zonder dat zij dit in de gaten hebben.

Er zijn twee belangrijke, verschillende soorten bedreigingen bij sms-malware:

1. Rechtstreekse verspreiding: mobiele malware die afkomstig is van het oorspronkelijke sms-aanvalsbericht.
2. Secundaire verspreiding: mobiele malware of andere schadelijke code die mobiele apparaten 'gijzelt' en malware via die apparaten naar andere gebruikers verspreidt via sms.

Bij rechtstreekse verspreiding gebruiken aanvallers mobiele netwerken of berichtenverkeersservices om hun malware-lokaas aan gebruikers te sturen. Vaak automatiseren aanvallers hun sms-berichten met schadelijke code, zodat ze niet met elke gebruiker apart contact op te hoeven nemen.

Bij secundaire verspreiding wordt de bedreiging via geïnfecteerde gebruikers naar andere personen in hun contactenlijst gestuurd. De initiële infectie ontstaat wanneer een gebruiker in de val trapt en in aanraking komt met de schadelijke code die een aanvaller heeft geplaatst. Deze schadelijke code kan malware verspreiden zodra het apparaat van de gebruiker is geïnfecteerd.

Kwaadaardige apps, e-mails en posts en berichten op sociale media zijn allemaal gangbare bronnen van deze secundaire bedreiging van 'gijzeling'. De schadelijke code kan vervolgens via de contactpersonenlijst van de gebruiker sms-aanvalsberichten verzenden.

Een andere methode die aanvallers via schadelijke code gebruiken is het overnemen van het mobiele apparaat van het slachtoffer als onderdeel van een botnet. Hierdoor kan een aanvaller opdrachten naar het mobiele apparaat sturen en meer acties uitvoeren dan enkel de voorgeprogrammeerde acties. Een voorbeeld hiervan is de contactgegevens van een gebruiker inzien en deze als doel gebruiken in een grotere aanval of andere soorten aanvallen uitvoeren, zoals DDoS-aanvallen. Soms wordt er backdoor-toegang aangemaakt met een hardnekkige bedreiging tot gevolg.

Soorten sms-aanvallen en mobiele malware-aanvallen

Enkele bekende soorten bedreigingen van sms-aanvallen zijn:

Sms-phishing (smishing)

Bij sms-phishing, of 'smishing', doet een aanvaller zich via sms voor als een persoon of onderneming die de gebruiker kent en probeert de aanvaller de gebruiker te misleiden zodat hij zichzelf hackt.

Gebruikers worden ertoe aangezet een handeling te doen die een malware-infectie tot gevolg heeft, geld te sturen, privégegevens door te geven, zoals accountgegevens of rekeningnummers.

Phishing is al jaren een populaire cyberaanval: mensen zijn geneigd om minder sceptisch te zijn over berichten die van een persoon of organisatie komen die ze kennen. Bovendien laten zelfs digitaal vaardige internetgebruikers zich nog weleens misleiden door berichten met een dringende boodschap. Deze berichten maken misbruik van het vertrouwen van mensen en gebruiken daarnaast eenvoudige kwaadaardige koppelingen of bijlagen.

Mobiele malware

Mobiele malware is elk soort kwaadaardige software die op mobiele apparaten wordt uitgevoerd. Onder deze aanvallen verstaan we het maken en verspreiden van malware door cybercriminelen op het mobiele apparaat van een slachtoffer. Dit is vaak de payload van andere sms-aanvallen, zoals smishing. Veelgebruikte malware is:

• Ransomware: versleutelt de gegevens van je apparaat en eist losgeld om het apparaat weer te ontgrendelen.
• Spyware: houd de gebruikersactiviteit bij, zoals toetsaanslagen, veegbewegingen en waarop wordt getikt.
• Clickjacking: kan interactie met je apparaat maskeren, zodat je onbewust handelingen uitvoert die schadelijke gevolgen hebben.
• Virus: infecteert kwaadaardige activiteit op je apparaat door zich aan een legitieme app vast te maken, vervolgens te doen waar het voor gemaakt is en door zich te vermenigvuldigen wanneer de app wordt uitgevoerd.
• Trojan: dient als lok-app of lokbestand en kan zelf malware zijn of kwaadaardige bedreigingen bevatten.

Sms-scams via betaalde nummers

Sms-scams via betaalde nummers zijn scams waarbij gebruikers worden geabonneerd op berichtenservices zonder hun toestemming. Slachtoffers krijgen ongewenst rekeningen op hun telefoonrekeningafschrift en betalen mogelijk de aanvaller als deze de eigenaar van de services is.

Een voorbeeld van een betaalde sms-service is het dagelijks ontvangen van horoscopen, etc. Hoewel dit legitiem kan zijn, is het een systeem dat aanvallers gebruiken voor eigen gewin en dat bij gebruikers tot ongemak kan leiden.

Soms kan malware zoals een trojan apparaten op een dergelijke manier infecteren dat het apparaat wordt getriggerd om zich bij betaalde services te abonneren. Deze trojans en ander malware zijn ontworpen om ongeautoriseerd te bellen of berichten te sturen zonder medeweten of toestemming van de gebruiker. Deze oproepen en tekstberichten worden vervolgens naar betaalde sms-services of betaalde nummers doorgestuurd. Die services of nummers worden door de cybercrimineel beheerd en leveren aanzienlijke geldstromen aan netwerken van cybercriminelen.

Voorbeelden van schadelijke sms-aanvallen

Het aantal sms-aanvallen is de laatste jaren toegenomen, vooral omdat het gebruik van mobiele apparaten wereldwijd is gestegen. Enkele meer recente aanvallen die je in je achterhoofd moet houden:

Emotet: sms-phishing en malware/trojans

Begin 2020 werd de banktrojan EMOTET gebruikt door cybercriminelen om via tekstberichten (sms) gebruikersgegevens buit te maken van klanten en malware te installeren. Cybercriminelen deden zich voor als bekende Amerikaanse banken en gebruikten berichten met een dringende boodschap (zoals Spaarrekening ACC VERGRENDELD), waarbij ze een kwaadaardige koppeling meestuurden die de klanten konden openen om het zogenaamde probleem op te lossen. Aanvallers gebruikten lokale telefoonnummers en lieten het bericht qua opmaak precies lijken op automatische waarschuwingsberichten, waardoor slachtoffers zich schrokken en klikten.

Slachtoffers die de kwaadaardige koppeling openen komen op de inlogpagina van een frauduleuze bank die de inloggegevens van de klant vastlegt (indien gebruikt), zonder dat deze het in de gaten heeft. Slachtoffers komen dan in de tweede fase van de aanval terecht. Ze downloaden een document dat kwaadaardige code bevat in de vorm van macro's.

De wormachtige vermenigvuldigingen van Emotet en zijn ontwijkende anti-malwaremethoden zijn de reden dat deze bedreiging een aanzienlijk gevaar vormt. Nu wordt Emotet bezorgd via een standaard smishingaanval, maar de malware wordt al sinds 2014 verspreid (met een korte pauze halverwege 2019) via constant wisselende kanalen. Doordat Emotet zich constant ontwikkelt, blijft het een bedreiging die goed in de gaten moet worden gehouden.

Filecoder: sms-ransomware op Android

In juli 2019 waren er meldingen van een nieuwe ransomware die Google Android-apparaten als doelwit had. Deze bedreiging staat bekend onder de naam Android/Filecoder.C, verspreidt zich via tekstberichten en kan je telefoonbestanden vergrendelen met gegevensencryptie. Dit biedt aanvallers de kans losgeld te eisen in ruil voor toegang tot je bestanden.

Deze bedreiging bestaat al sinds juli 2019 en wordt verspreid via webforums zoals Reddit. Als lokaas wordt meestal pornografische content gebruikt, waarin links zitten verborgen met URL-verkortingsservices zoals bit.ly.

Slachtoffers met Android die op deze koppeling hebben geklikt, krijgen malware op hun apparaat en er worden tekstberichten met andere kwaadaardige koppelingen naar elk van hun contactpersonen gestuurd. In deze tekstkoppeling wordt een app gepromoot die, als die wordt geïnstalleerd, op de achtergrond ongemerkt ransomware uitvoert.

Sms-bescherming: hoe voorkom je sms-aanvallen?

Wat kun je doen om jezelf te beschermen tegen een sms-aanval? Hier zijn enkele belangrijke tips om je beter te beschermen:

1. Doe het rustig aan en wees voorzichtig: meestal is haast een rode vlag die aangeeft dat je moet wachten en kritischer moet zijn. Neem rechtstreeks contact op met de afzender via vertrouwde kanalen, zoals een officieel telefoonnummer op de website van de instelling. Doe hetzelfde als de sms zogenaamd van een bekende komt.
2. Controleer je telefoonrekeningen: ongewenste kosten kunnen een teken zijn van oplichting, dus maak hier melding van en dien een geschil in zodra je ze ontdekt.
3. Houd oog voor details: vreemde spelling, grammatica en formulering zijn allemaal tekenen dat een bericht niet van een officiële instelling afkomstig is. Officiële correspondentie wordt normaliter doorgenomen en zorgvuldig geschreven, terwijl dat bij sms-aanvallen meestal niet het geval is.
4. Wees op je hoede voor afzenders: neem iedereen die niet in je contacten staat onder de loep, maar wees ook voorzichtig met vrienden en andere bekende contacten. Onverwachte koppelingen zouden een belletje moeten doen rinkelen en je ertoe moeten aanzetten om contact op te nemen met de persoon in kwestie om te controleren dat diegene buiten de sms'jes om veilig is.
5. Open geen koppelingen rechtstreeks: vertrouwde organisaties zoals je bank kun je direct controleren via een officiële website. Kies ervoor om dit te doen in plaats van een mogelijk kwaadaardige koppeling te volgen.

Tot slot kun je door effectieve anti-malwaresoftware te installeren, je mobiele apparaten beschermen tegen trojans en andere schadelijke bedreigingen die sms-aanvallen initiëren. We raden Kaspersky Premium aan: beschermt al je apparaten (mobiel, desktop, laptop, tablet) tegen trojans, phishingscams en andere malware-aanvallen.

Gerelateerde koppelingen:

• Fraude op mobiele apparaten - oplichters identificeren en jezelf beschermen
• VPN voor smartphones
• Kunnen iPhones geïnfecteerd raken met virussen? Een gids om virussen op iPhones te verwijderen
• Een hacker van je telefoon/iPhone verwijderen
• Hoe verwijder je virussen van een Android-toestel?