Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chinese 'scheldende trojan' gebruikt nepzendmasten voor verspreiding

Door , 46 reacties

Chinese malware met de bijnaam 'Swearing Trojan' vanwege de scheldwoorden in de broncode, is gebruik gaan maken van nepzendmasten om gebruikers te verleiden op een link te klikken met sms'jes die afkomstig lijken van hun provider.

Naast dat de malware nepzendmasten gebruikt, zijn de sms'jes overtuigend met hun inhoud, meldt Check Point. De Android-malware probeerde gebruikers over te halen te klikken op een link die de malware op hun apparaat installeerde. De sms leek afkomstig van China Telecom of China Unicom, twee grote Chinese telecomproviders.

De malware probeerde zich op meer manieren te onderscheiden. Zo deed het zich voor als een berichtje van een manager, die vroeg om direct te reageren op de inhoud van een document. Door het document te openen installeerde de malware zich. Ook gebruikte de malware een fake mms met beeldmateriaal van eigen partners of die van bekende mensen. Die mensen zouden vreemdgaan en de beelden zouden dat laten zien. Ook vermomde de trojan zich als notifcatie voor de update voor een app.

Swearing Trojan onderscheidt zich verder doordat het geen contact zoekt met een server, maar privé-gegevens van slachtoffers doorstuurt via mms of e-mail. De maker van de malware is inmiddels gearresteerd.

Scheldend trojaans paard. Dit is geen screenshot van de Chinese Android-malware Swearing Trojan

Door Arnoud Wokke

Redacteur mobile

23-03-2017 • 07:33

46 Linkedin Google+

Reacties (46)

Wijzig sortering
Een neppe zendmast is een ding wat geen zendmast is, maar daar toch wel op lijkt. Hoe gebruik je zoiets?
Wellicht verduidelijkt deze zin uit het bron artikel het voor je: "Attackers operate fake base transceiver stations (BTSs) that send phishing SMS messages masquerading as ones coming from Chinese telecom service providers China Mobile and China Unicom."

Avast voorspelde het al eerder (2014) in een blogpost, dat dit soort gebeurtenissen zouden komen: https://blog.avast.com/20...future-of-mobile-hacks-2/

En Zimperium heeft een duidelijk te begrijpen analyse van kwetsbaarheden in verscheidende open source BTS producten: https://blog.zimperium.co...open-source-bts-products/

[Reactie gewijzigd door NSG op 23 maart 2017 08:50]

Dus als ik het goed begrijp is de neppe zendmast een 'gewone' zendmast die gehackt is?
Het probleem is eigenlijk vooral het volgende:

Een telefoon moet zich identificeren (authenticeren) bij een zendmast. Maar andersom niet.

Dat betekent dat wanneer een zendmast de juiste IDs uitzend (zegt dat het een KPN mast is), dat telefoons daar vrolijk naar zullen verbinden.

Het enige wat je hoeft te doen is zorgen dat jouw 'nepmast' een sterker signaal heeft dan de legitieme mast. En dat kan op korte afstand vrij eenvoudig. Dat zijn kastjes die gemakkelijk in een rugtas passen.
Ik heb zelf wel eens met mijn eigen BTS gespeeld. En het is uitzonderlijk hoe doodsimpel hoe je iemands telefoon kan laten registreren op je eigen bts. en vervolges als 112 afzender een sms stuurt.. ongelovelijk...

Heb behoorlijk mensen gek gemaakt in de buurt hier. en het leuke is dat het nog legaal is ook althans. om in de dect guard band uit te komen met je BTS is volgens agentschap telecom toegestaan.

het enige wat je er voor nodig heb is een NanoBTS en openbsc

[Reactie gewijzigd door adam76 op 23 maart 2017 11:05]

Oke, in dat geval is het dus wel een fysiek ding, maar wel een redelijk eenvoudig iets?
Kosten zullen enkele honderden euro's zijn, als je het goed/groots wil doen. Niet echt iets dat geharde criminelen tegen zal houden.
Het bronartikel geeft eigenlijk niet voldoende info beschikbaar om die vraag te beantwoorden. Maar het kan in theorie dus wel vrij eenvoudig gerealiseerd worden.

En zoals @kaaas al opmerkt, kan het een zelf gefabriceerde zendmast zijn.
Ik denk dat ze zelf een zendmast hebben gemaakt. Dat is tegenwoordig best goed te doen met SDR
Dus als ik het goed begrijp is de neppe zendmast een 'gewone' zendmast die gehackt is?
Nee een zendmast (stukje hardware) die iemand zelf ergens neer heeft gezet. Je telefoon verbindt met het sterkste signaal.

[Reactie gewijzigd door Durandal op 23 maart 2017 12:56]

Ja, ik vind het ook een intrigerende term :) Ik snap wat er bedoeld wordt, maar toch klopt 'neppe zendmast' niet helemaal daarvoor.
Dat zijn echt zendmasten.
Nee IMSI catchers zijn Nep zendmasten, ze lijken op the Real Deal, maar dienen alleen maar om de beveiliging van GSM af te strippen zodat gesprekken afgeluisterd kunnen worden.

Ze werken als MITM voor beveiligde GSM.

Oh btw van de alibaba site:
Specifications

An IMSI catcher is essentially a false mobile tower acting between the target mobile phone(s) and the service providers.
(update quote)

[Reactie gewijzigd door tweaknico op 24 maart 2017 13:39]

Hahaha dat plaatje wat jullie hebben toegevoegd met daarbij die droge tekst, You guys made my day!
+1 voor Tweakers voor droge humor in de ochtend.
Hahaha ik lig helemaal dubbel. "Dit is geen screenshot." 😂

Vernuft stukje code overigens. Daar heeft wat denkwerk ingezeten.
Props voor de mad paint-skillz!
Dat is wel lekker wat humor, want soms is het echt chagarijnen met fanboys tegen fanboys, dit is gewoon top :)
Idd, dit maakt Tweakers juist weer wat meer Tweakers :)
In de laatste alinea staat wel 'Stealing Trojan' ipv 'Swearing' ;) Nieuwe variant op deze malware of een typo?
Serieus, dit vind je al grappig.. ?
In huize Markster is het, getuige je post die op subtiele wijze bol staat van de humor en vrolijkheid, natuurlijk dag in dag uit een dolle boel en lachen geblazen, dus logisch dat jouw standaarden wat hoger liggen dan die van ons, maar inderdaad, sommigen van ons vinden dit inderdaad grappig. We kunnen je slechts vragen begrip te hebben voor het feit dat we ons vermaakt voelen door deze inferieure grap.
Volgensmij hebben ze iemand van CoolBlue ingehuurd :P
idem! leuk om eens wat flauwe humor hier te zien! Serieus bericht, flauw plaatje. I like!
Kudos voor het gortdroge plaatje en onderschrift inderdaad. :)
De vraag is waarom ze nepzendmasten gebruikt hebben. SMS sturen vanaf een willekeurige afzender kan veel eenvoudiger, dat kan iedere SMS provider. Zo'n zendmast moet het hele GSM protocol implementeren is vrij prijzig, dat geld moet terugverdiend worden.
Wat nu als een van de bedenkers van dit hele gebeuren nu werkt(e) bij een bedrijf dat ook SMS gateways en zendmasten beheert? Dan zou het gewoon een kwestie voor hem zijn geweest om de code te stelen en te "installeren" op zijn eigen mast.. Het hoeft dus niet per se geld hebben gekost. Daarnaast zijn er ook nog zat *gedreven* mensen die gewoon die-hard een SMS protocol in elkaar zetten in een weekje tijd, misschien zat zo'n persoon erachter en heeft het alsnog geen geld gekost (enkel tijd).
Uitgaande smsjes kan inderdaad via een bulk sms gateway, maar met een fake zendmast (IMSI catcher) zie je ook de inkomende smsjes voorbij komen, denk aan 2FA berichtjes. Die kun je stoppen (door ze niet door te sturen naar de ontvanger) en deze gebruiken voor criminele doeleinden. Dat is de reden waarom 2FA via SMS niet meer als voldoende veilig wordt beschouwd.
Er is al een Android app voor, en iOS heeft iets in het core OS zitten, maar ik betwijfel in hoeverre dat afdoende werkt tegen deze aanvallen.
Gebruiken mensen nog MMS?
Sterker nog, ik heb nog nooit meegemaakt dat een mms succesvol kon worden verstuurd, ontvangen én ook daadwerkelijk geopend kon worden. Een soort ingebouwde malwarebescherming dus. :P
Die tekst met het plaatje :D. Leuke grap.
Tja, een echter Trojaans paard kan je niet krijgen. ;-)

Of is het stiekum een zendmast? een beetje zoals https://nl.wikipedia.org/wiki/GSM-boom?
Zo'n plaatje mag vaker. Geeft iig beetje oude tweakers gevoel terug.
"dit is geen screenshot" haha, niet?
Jij hebt zeker nooit op een IT support afdeling gezeten? :P Klinkt geloofwaardig hoor als mensen dat zouden denken.
Mijn moeder heeft een laptop, nuff said :P
"Hello ik ben prince from Nigeria. Ik hoor jouw moeder has laptop. Wil jij asken haar of zij geld want to sturen? Ik stuur terug dubbel geld."

Ja, daar gaat het geld weer...
Je geld is onderweg hoor.
Alleen is er een klein probleemje bij de douane met de inklaringskosten. Als dat niet binnen 3 dagen wordt betaald wordt het verbeurd maar ons geld komt pas na 2 weken aan door t trage syateem. Iemand moet dus even die verwerkingskosten met.een Nederlands banknummer voorschieten.
Natuurlijk krijg je t t terug. ¤72 op
IBAN NI666POPUPBNK00000000000012
tnv LAGOSSTREATTELSHOP V.O.F.
Wie dit plaatje bedacht heeft is een held. You have my upvote.
Ik zag hem in mijn RSS feed en dacht eerst dat het van Kakhiel of De Speld was. Briljant!

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*