Je gebruikt je smartphone waarschijnlijk voor alles: van contactloos betalen bij de Albert Heijn tot het checken van je saldo bij ING of Rabobank. Het is makkelijk, maar precies die handigheid maakt je een doelwit voor criminelen. Beveiligingsexperts hebben een nieuwe, geniepige vorm van malware ontdekt die momenteel rondgaat onder de naam “Massiv”.
Ik heb veel van dit soort dreigingen voorbij zien komen, maar deze is anders. Het vermomt zich niet als een vage systeemupdate, maar als iets wat we allemaal wel eens zoeken: gratis entertainment. Het biedt toegang tot sportwedstrijden en films, maar achter de schermen wordt je bankrekening geplunderd.
De giftige tv-gids in je broekzak
De makers van deze malware weten precies hoe ze ons moeten verleiden. De app presenteert zich als een onschuldige streamingdienst. Maar zodra je de app installeert, begint de ellende. Het werkt als een digitale kameleon die wacht op het juiste moment om toe te slaan.
- Valse inlogschermen: De malware legt een onzichtbare laag over je echte bank-app.
- Code-diefstal: Het onderschept je verificatiecodes via sms of push-notificaties.
- Afstandsbediening: Criminelen kunnen letterlijk op knoppen drukken terwijl jij naar je scherm kijkt.
Hoe ze je in de val lokken
Het proces is schrikbarend simpel. Je opent je vertrouwde bank-app om even wat geld over te maken. Op dat moment flitst de malware razendsnel een kopie van het inlogscherm over de echte app heen. Je denkt dat je inlogt bij je bank, maar in werkelijkheid stuur je je gegevens direct door naar de server van een hacker.
Maar er is een nuance: het blijft niet bij alleen meekijken. Door misbruik te maken van de ’toegankelijkheidsservices’ (Accessibility Services) van Android, krijgt de app de macht om handelingen uit te voeren. Het is alsof er een onzichtbare hand je telefoon bedient, betalingen bevestigt en limieten verhoogt, zonder dat je een vinger uitsteekt.
Twee manieren van spionage
Onderzoekers van ThreatFabric ontdekten dat de malware op twee manieren werkt. Soms streamt het je volledige scherm live naar de aanvallers. Lukt dat niet? Dan scant de app de opbouw van je scherm. Het weet precies waar de ‘verzend’-knop zit, zelfs als het de beelden zelf niet kan zien.
Zo houd je je digitale portemonnee veilig
In Nederland zijn we gewend aan veilig online bankieren, maar techniek zoals deze omzeilt zelfs de strengste beveiliging als je de app zelf toestemming geeft. Mijn belangrijkste advies: installeer nooit apps via een linkje op een website of een vage ‘gratis sport’-site.
- Gebruik uitsluitend de Google Play Store voor je downloads.
- Wees extatisch voorzichtig als een app vraagt om toegang tot ‘Toegankelijkheid’ of ‘Accessibility’.
- Controleer regelmatig je bankafschriften op kleine, onverklaarbare bedragen.
Het is verleidelijk om die ene Champions League-wedstrijd gratis te kijken via een omweg, maar is dat het risico op een lege bankrekening echt waard? Heb jij wel eens een melding gekregen van een app die ongebruikelijke rechten opvroeg?
