Chinese 'scheldende trojan' gebruikt nepzendmasten voor verspreiding

Chinese malware met de bijnaam 'Swearing Trojan' vanwege de scheldwoorden in de broncode, is gebruik gaan maken van nepzendmasten om gebruikers te verleiden op een link te klikken met sms'jes die afkomstig lijken van hun provider.

Naast dat de malware nepzendmasten gebruikt, zijn de sms'jes overtuigend met hun inhoud, meldt Check Point. De Android-malware probeerde gebruikers over te halen te klikken op een link die de malware op hun apparaat installeerde. De sms leek afkomstig van China Telecom of China Unicom, twee grote Chinese telecomproviders.

De malware probeerde zich op meer manieren te onderscheiden. Zo deed het zich voor als een berichtje van een manager, die vroeg om direct te reageren op de inhoud van een document. Door het document te openen installeerde de malware zich. Ook gebruikte de malware een fake mms met beeldmateriaal van eigen partners of die van bekende mensen. Die mensen zouden vreemdgaan en de beelden zouden dat laten zien. Ook vermomde de trojan zich als notifcatie voor de update voor een app.

Swearing Trojan onderscheidt zich verder doordat het geen contact zoekt met een server, maar privé-gegevens van slachtoffers doorstuurt via mms of e-mail. De maker van de malware is inmiddels gearresteerd.

Scheldend trojaans paard trojan

Scheldend trojaans paard. Dit is geen screenshot van de Chinese Android-malware Swearing Trojan

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 23-03-2017 07:33 46

23-03-2017 • 07:33

46

Lees meer

Onderzoekers: nieuwe Cerberus-trojan kan 2fa-codes op Android stelen
Onderzoekers: nieuwe Cerberus-trojan kan 2fa-codes op Android stelen Nieuws van 27 februari 2020
VS vindt aanwijzingen voor gebruik van nepzendmasten rond Washington D.C.
VS vindt aanwijzingen voor gebruik van nepzendmasten rond Washington D.C. Nieuws van 4 april 2018
Android-malware steelt data uit populaire apps als WhatsApp en Facebook
Android-malware steelt data uit populaire apps als WhatsApp en Facebook Nieuws van 7 juli 2017
'Alibaba en andere bedrijven investeren negen miljard euro in Chinese provider'
'Alibaba en andere bedrijven investeren negen miljard euro in Chinese provider' Nieuws van 22 juni 2017
Android-malware injecteert code en schakelt beveiligingsfunctie uit
Android-malware injecteert code en schakelt beveiligingsfunctie uit Nieuws van 8 juni 2017
Software als Kodi en VLC is kwetsbaar voor hack via kwaadaardige ondertitels
Software als Kodi en VLC is kwetsbaar voor hack via kwaadaardige ondertitels Nieuws van 23 mei 2017
Oude Dimnie-trojan richt zich op GitHub-ontwikkelaars
Oude Dimnie-trojan richt zich op GitHub-ontwikkelaars Nieuws van 30 maart 2017
Beveiligingsbedrijf ontdekt trojan die communiceert via dns
Beveiligingsbedrijf ontdekt trojan die communiceert via dns Nieuws van 3 maart 2017
Malwarebytes neemt AdwCleaner over
Malwarebytes neemt AdwCleaner over Nieuws van 20 oktober 2016
Meer producten en artikelen
Smartphones Netwerk en systeembeheer China

Reacties (46)

-Moderatie-faq
46
46
25
4
0
7
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 23 maart 2017 08:15
Een neppe zendmast is een ding wat geen zendmast is, maar daar toch wel op lijkt. Hoe gebruik je zoiets?
NSG @Verwijderd23 maart 2017 08:44
Wellicht verduidelijkt deze zin uit het bron artikel het voor je: "Attackers operate fake base transceiver stations (BTSs) that send phishing SMS messages masquerading as ones coming from Chinese telecom service providers China Mobile and China Unicom."

Avast voorspelde het al eerder (2014) in een blogpost, dat dit soort gebeurtenissen zouden komen: https://blog.avast.com/20...future-of-mobile-hacks-2/

En Zimperium heeft een duidelijk te begrijpen analyse van kwetsbaarheden in verscheidende open source BTS producten: https://blog.zimperium.co...open-source-bts-products/

[Reactie gewijzigd door NSG op 22 juli 2024 17:22]

necessaryevil @NSG23 maart 2017 09:09
Dus als ik het goed begrijp is de neppe zendmast een 'gewone' zendmast die gehackt is?
Tozz @necessaryevil23 maart 2017 10:46
Het probleem is eigenlijk vooral het volgende:

Een telefoon moet zich identificeren (authenticeren) bij een zendmast. Maar andersom niet.

Dat betekent dat wanneer een zendmast de juiste IDs uitzend (zegt dat het een KPN mast is), dat telefoons daar vrolijk naar zullen verbinden.

Het enige wat je hoeft te doen is zorgen dat jouw 'nepmast' een sterker signaal heeft dan de legitieme mast. En dat kan op korte afstand vrij eenvoudig. Dat zijn kastjes die gemakkelijk in een rugtas passen.
adam76 @Tozz23 maart 2017 11:02
Ik heb zelf wel eens met mijn eigen BTS gespeeld. En het is uitzonderlijk hoe doodsimpel hoe je iemands telefoon kan laten registreren op je eigen bts. en vervolges als 112 afzender een sms stuurt.. ongelovelijk...

Heb behoorlijk mensen gek gemaakt in de buurt hier. en het leuke is dat het nog legaal is ook althans. om in de dect guard band uit te komen met je BTS is volgens agentschap telecom toegestaan.

het enige wat je er voor nodig heb is een NanoBTS en openbsc

[Reactie gewijzigd door adam76 op 22 juli 2024 17:22]

necessaryevil @Tozz23 maart 2017 12:28
Oke, in dat geval is het dus wel een fysiek ding, maar wel een redelijk eenvoudig iets?
Keypunchie @necessaryevil23 maart 2017 19:03
Kosten zullen enkele honderden euro's zijn, als je het goed/groots wil doen. Niet echt iets dat geharde criminelen tegen zal houden.
NSG @necessaryevil23 maart 2017 09:25
Het bronartikel geeft eigenlijk niet voldoende info beschikbaar om die vraag te beantwoorden. Maar het kan in theorie dus wel vrij eenvoudig gerealiseerd worden.

En zoals @kaaas al opmerkt, kan het een zelf gefabriceerde zendmast zijn.
kaaas @necessaryevil23 maart 2017 09:18
Ik denk dat ze zelf een zendmast hebben gemaakt. Dat is tegenwoordig best goed te doen met SDR
Durandal @necessaryevil23 maart 2017 12:56
Dus als ik het goed begrijp is de neppe zendmast een 'gewone' zendmast die gehackt is?
Nee een zendmast (stukje hardware) die iemand zelf ergens neer heeft gezet. Je telefoon verbindt met het sterkste signaal.

[Reactie gewijzigd door Durandal op 22 juli 2024 17:22]

incaz @Verwijderd23 maart 2017 12:17
Ja, ik vind het ook een intrigerende term :) Ik snap wat er bedoeld wordt, maar toch klopt 'neppe zendmast' niet helemaal daarvoor.
tweaknico @Verwijderd23 maart 2017 12:58
IMSI Catcher?
https://www.eff.org/deepl...threat-cell-phone-privacy

Alibaba: USD 1800,--
https://www.alibaba.com/p...SI-catcher_135958750.html
Verwijderd @tweaknico23 maart 2017 14:03
Dat zijn echt zendmasten.
tweaknico @Verwijderd24 maart 2017 12:23
Nee IMSI catchers zijn Nep zendmasten, ze lijken op the Real Deal, maar dienen alleen maar om de beveiliging van GSM af te strippen zodat gesprekken afgeluisterd kunnen worden.

Ze werken als MITM voor beveiligde GSM.

Oh btw van de alibaba site:
Specifications

An IMSI catcher is essentially a false mobile tower acting between the target mobile phone(s) and the service providers.
(update quote)

[Reactie gewijzigd door tweaknico op 22 juli 2024 17:22]

Game_overrr 23 maart 2017 07:39
Hahaha dat plaatje wat jullie hebben toegevoegd met daarbij die droge tekst, You guys made my day!
geekeep @Game_overrr23 maart 2017 07:40
+1 voor Tweakers voor droge humor in de ochtend.
Blinkin @Game_overrr23 maart 2017 07:56
Hahaha ik lig helemaal dubbel. "Dit is geen screenshot." 😂

Vernuft stukje code overigens. Daar heeft wat denkwerk ingezeten.
Auteurarnoudwokke Redacteur Tweakers @Game_overrr23 maart 2017 08:06
Graag gedaan :)
RedPixel @arnoudwokke23 maart 2017 08:34
Props voor de mad paint-skillz!
Game_overrr @arnoudwokke23 maart 2017 09:00
Dat is wel lekker wat humor, want soms is het echt chagarijnen met fanboys tegen fanboys, dit is gewoon top :)
Mic2000 @Game_overrr23 maart 2017 09:24
Idd, dit maakt Tweakers juist weer wat meer Tweakers :)
AlKoholiK @arnoudwokke23 maart 2017 10:29
In de laatste alinea staat wel 'Stealing Trojan' ipv 'Swearing' ;) Nieuwe variant op deze malware of een typo?
mdj84nl @Game_overrr23 maart 2017 09:46
Serieus, dit vind je al grappig.. ?
HooksForFeet @mdj84nl23 maart 2017 10:17
In huize Markster is het, getuige je post die op subtiele wijze bol staat van de humor en vrolijkheid, natuurlijk dag in dag uit een dolle boel en lachen geblazen, dus logisch dat jouw standaarden wat hoger liggen dan die van ons, maar inderdaad, sommigen van ons vinden dit inderdaad grappig. We kunnen je slechts vragen begrip te hebben voor het feit dat we ons vermaakt voelen door deze inferieure grap.
Slavy @Game_overrr23 maart 2017 07:56
Volgensmij hebben ze iemand van CoolBlue ingehuurd :P
jay123 @Game_overrr23 maart 2017 09:00
idem! leuk om eens wat flauwe humor hier te zien! Serieus bericht, flauw plaatje. I like!
HooksForFeet @Game_overrr23 maart 2017 10:07
Kudos voor het gortdroge plaatje en onderschrift inderdaad. :)
FeronIT 23 maart 2017 08:10
De vraag is waarom ze nepzendmasten gebruikt hebben. SMS sturen vanaf een willekeurige afzender kan veel eenvoudiger, dat kan iedere SMS provider. Zo'n zendmast moet het hele GSM protocol implementeren is vrij prijzig, dat geld moet terugverdiend worden.
ultimate-tester @FeronIT23 maart 2017 09:01
Wat nu als een van de bedenkers van dit hele gebeuren nu werkt(e) bij een bedrijf dat ook SMS gateways en zendmasten beheert? Dan zou het gewoon een kwestie voor hem zijn geweest om de code te stelen en te "installeren" op zijn eigen mast.. Het hoeft dus niet per se geld hebben gekost. Daarnaast zijn er ook nog zat *gedreven* mensen die gewoon die-hard een SMS protocol in elkaar zetten in een weekje tijd, misschien zat zo'n persoon erachter en heeft het alsnog geen geld gekost (enkel tijd).
TDeK @FeronIT23 maart 2017 11:48
Uitgaande smsjes kan inderdaad via een bulk sms gateway, maar met een fake zendmast (IMSI catcher) zie je ook de inkomende smsjes voorbij komen, denk aan 2FA berichtjes. Die kun je stoppen (door ze niet door te sturen naar de ontvanger) en deze gebruiken voor criminele doeleinden. Dat is de reden waarom 2FA via SMS niet meer als voldoende veilig wordt beschouwd.
Er is al een Android app voor, en iOS heeft iets in het core OS zitten, maar ik betwijfel in hoeverre dat afdoende werkt tegen deze aanvallen.
sebaz142 23 maart 2017 09:48
Gebruiken mensen nog MMS?
HooksForFeet @sebaz14223 maart 2017 10:23
Sterker nog, ik heb nog nooit meegemaakt dat een mms succesvol kon worden verstuurd, ontvangen én ook daadwerkelijk geopend kon worden. Een soort ingebouwde malwarebescherming dus. :P
krakendmodem 23 maart 2017 07:43
Die tekst met het plaatje :D. Leuke grap.
beerse 23 maart 2017 08:47
Tja, een echter Trojaans paard kan je niet krijgen. ;-)

Of is het stiekum een zendmast? een beetje zoals https://nl.wikipedia.org/wiki/GSM-boom?
mg794613 23 maart 2017 08:48
Zo'n plaatje mag vaker. Geeft iig beetje oude tweakers gevoel terug.
Verwijderd 23 maart 2017 07:41
"dit is geen screenshot" haha, niet?
Stoelpoot @Verwijderd23 maart 2017 08:59
Jij hebt zeker nooit op een IT support afdeling gezeten? :P Klinkt geloofwaardig hoor als mensen dat zouden denken.
Verwijderd @Stoelpoot23 maart 2017 13:28
Mijn moeder heeft een laptop, nuff said :P
Stoelpoot @Verwijderd23 maart 2017 13:50
"Hello ik ben prince from Nigeria. Ik hoor jouw moeder has laptop. Wil jij asken haar of zij geld want to sturen? Ik stuur terug dubbel geld."

Ja, daar gaat het geld weer...
Schrudde @Stoelpoot23 maart 2017 21:29
Je geld is onderweg hoor.
Alleen is er een klein probleemje bij de douane met de inklaringskosten. Als dat niet binnen 3 dagen wordt betaald wordt het verbeurd maar ons geld komt pas na 2 weken aan door t trage syateem. Iemand moet dus even die verwerkingskosten met.een Nederlands banknummer voorschieten.
Natuurlijk krijg je t t terug. €72 op
IBAN NI666POPUPBNK00000000000012
tnv LAGOSSTREATTELSHOP V.O.F.
Macfreak101 23 maart 2017 07:50
Wie dit plaatje bedacht heeft is een held. You have my upvote.
P_Tingen 23 maart 2017 07:54
Ik zag hem in mijn RSS feed en dacht eerst dat het van Kakhiel of De Speld was. Briljant!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq