FluBot-malware gebruikt nu ook WhatsApp om Nederlandse Android gebruikers te infecteren

Gepubliceerd op 27 mei 2021 om 07:00

Het aantal KPN-klanten dat met een piek in het sms-gebruik te maken kreeg is vorige week na de uitbraak van de FluBot-malware sterk gestegen, zo laat de telecomprovider tegenover de media weten. Daarnaast gebruikt de malware nu ook WhatsApp om Nederlandse Android gebruikers te infecteren. KPN is begonnen om klanten die vermoedelijk met de FluBot-malware besmet zijn proactief te waarschuwen.

Hoe werkt het

Vorige week berichtte KPN al over de FluBot-malware, die ontwikkeld is om gegevens voor internetbankieren en creditcardgegevens te stelen. De malware verstuurt vanaf besmette Androidtelefoons sms-berichten die van DHL afkomstig lijken. In het bericht wordt gesteld dat de ontvanger zijn pakket kan volgen door een app te installeren. Standaard staat Android het installeren van apps van buiten de Google Play Store niet toe. De website die de malafide app aanbiedt bevat echter instructies waarin wordt uitgelegd hoe slachtoffers de beveiligingsmaatregel kunnen uitschakelen.

Eenmaal geïnstalleerd downloadt de FluBot-malware van een server een lijst met telefoonnummers om sms-berichten naar toe te sturen. Daarnaast wordt het adresboek van het besmette toestel naar de server geüpload, waardoor contacten van de besmette gebruiker uiteindelijk ook het malafide sms-bericht ontvangen. Normaliter ziet KPN een handvol klanten op een dag die met een sms-piek te maken krijgen. Vorige week na de uitbraak van de FluBot-malware waren dat er bijna vijfhonderd.

"Klanten die te maken hebben gehad met een FluBot-malware kunnen te maken krijgen met hogere bundelkosten. Wanneer er bij klanten een sms-piek ontstaat, ontvangen zij direct een bericht van ons. Daarna kan KPN de klant verder helpen door te onderzoeken hoe verder te handelen. Een groter probleem is dat deze FluBot-malware kan beschikken over informatie van de gebruiker die gebruikt kan worden om fraude mee te plegen", zegt woordvoerder Gerd De Smyter tegenover de media.

Voorbeelden van malware aanvallen

Je moet de sneeuwbal stoppen

De telecomprovider waarschuwde op de eigen website dat klanten door de FluBot-infectie met hogere telefoonrekeningen te maken kunnen krijgen, maar is nog niet bekend met gevallen waar dit daadwerkelijk het geval is. Ook hebben klanten nog geen andere schade als gevolg van de malware gemeld. De Smyter merkt op dat KPN wel kosten door de malware maakt, zoals het versturen van de sms-berichten en het voorlichten en waarschuwen van klanten. "De veiligheid van klanten staat voorop, maar het is ook in ons belang dat dit zo snel mogelijk de kop wordt ingedrukt."

Aan de hand van de waargenomen sms-pieken, informatie van de abusedesk en andere tooling waarschuwt KPN de eigen klanten die vermoedelijk met de FluBot-malware besmet zijn geraakt. Deze klanten ontvangen een e-mail met verdere informatie. "Je moet de sneeuwbal stoppen", zegt Oscar Koeroo van het KPN CISO Office. Hij benadrukt dat klanten alleen apps uit de officiële appstore of Mobile Device Management tooling van de werkgever moeten installeren en niet vanuit onbekende bronnen.

Bron: kpn.com, security.nl

Meer info over malware

Tips of verdachte activiteiten gezien? Meld het hier.

Malware gerelateerde berichten

Zeroday malware die traditionele antivirus handtekeningen omzeilt in de lift

Maar liefst 70 procent van alle cyberaanvallen tijdens het tweede kwartaal van 2020 zetten zero-day malware in. Dat is een stijging van 12 procent ten opzichte van het eerste kwartaal, zo blijkt uit het nieuwe Internet Security Rapport over Q2 van 2020 van securityleverancier 'WatchGuard Technologies'. Deze malware omzeilt traditionele antivirus-handtekeningen en zijn hierdoor moeilijker detecteerbaar.

Lees meer »