Beheer

Security
malware

Hoe cybercriminelen hulpmiddelen voor slechtzienden misbruiken

Aanvallen op toegankelijkheidsdiensten steeds geavanceerder.

17 december 2021

Aanvallen op toegankelijkheidsdiensten steeds geavanceerder.

Malware die is toegespitst op het misbruiken van toegankelijkheidsdiensten wordt steeds geavanceerder. Dat constateert mobile security expert Jeroen Beckers van NVISO. Met ‘Sharkbot’ is er een nieuwe vorm van malware die het specifiek gemunt heeft op misbruiken van diensten voor toegankelijkheid, die bijvoorbeeld voor mensen met een visuele beperking worden gebruikt.

Beckers doet al jaren onderzoek naar malware. Na FluBot en TeaBot is SharkBot de volgende vorm van malware die probeert te rommelen met de diensten voor toegankelijkheid die vaak gebruikt wordt door mensen met een (visuele) beperking. Beckers zag zelf door de jaren heen vele voorbeelden waarbij het cybercriminelen lukte om hiermee binnen te komen voorbijkomen. “Nee, Sharkbot is zeker niet de eerste malware die is toegespitst op accessibility-services. De eerste keer dat de impact van malware op dit gebied duidelijk werd was rond 2016. Veel van deze malware-uitvoeringen zijn allemaal afgeleid van één project, dat jaren geleden werd gedeeld op een forum en waarvan hackers steeds weer nieuwe versies ontwikkelen”, vertelt Beckers.

Door een stukje ‘social engineering’ waarbij slachtoffers een melding ontvingen waarin stond uitgelegd dat ze bepaalde instellingen moesten aanpassen, kunnen kwaadwillenden genadeloos toeslaan en bankrekeningen plunderen. “Het slachtoffer moet dus eerst zelf verleid worden om instellingen te wijzigen voordat de hacker zijn gang kan gaan. “Om die instellingen te wijzigen moet  een Android-permissie worden gegeven”, aldus Beckers. En dat is niet eenvoudig. “Een gebruiker kan niet in een applicatie de toegankelijkheidsinstellingen wijzigen. Hij moet naar je operational system settings en daar moet hij het handmatig aanpassen.”

Game Over  

Maar als het eenmaal zo ver is, houdt niets de hacker nog tegen. De instellingen helpen normaal gesproken gebruikers met het bedienen van hun device. Dat kan met een screenreader of stemherkenning waarmee bijvoorbeeld een volgende pagina mee kan worden geopend. “Dan is het game over. Wanneer hackers hierbij kunnen hebben zij voor 90% controle over het toestel en dan kunnen ze alles wat een gewone gebruiker ook kan. Op knoppen klikken, de inhoud lezen en interactie voeren.”

Screen overlay

Daarnaast is er een groep cybercriminelen dat screen overlay toepast. Hiermee kun je een extra ‘laag’ over een interface leggen waarin andere applicaties worden gebruikt. Een hacker zal dan accessibility-services gebruiken en wachten tot het slachtoffer gaat internetbankieren en dan een scherm toevoegen dat precies op het originele lijkt waarin gebruikersnaam en wachtwoord wordt ingevuld. Ook screen overlay is voor hackers alleen te gebruiken wanneer het slachtoffer permissies toekent.”

De trend is dat de aanvallen waarbij toegankelijkheidsdiensten worden ingezet meer geavanceerd worden, vertelt Beckers. Inloggen met alleen een gebruikersnaam en wachtwoord is niet veilig meer. “Dat kan in België en Nederland gelukkig al een tijdje niet meer, maar de komende jaren wordt het interessant want deze beweging gaat niet snel stoppen. Er zijn steeds meer aanvallen en ze komen ook steeds meer voor in Nederland en België. Dat terwijl het hier veel moeilijker is om slachtoffers te maken dan in bijvoorbeeld Zuid-Amerikaanse of Afrikaanse landen waar vaak nog alleen met wachtwoord en gebruikersnaam kan worden ingelogd. We hebben al voorbeelden aangetroffen waarbij hackers het scherm van de gebruikers minutenlang wisten te filmen en dus meekeken bij het gebruik van de apps.”

Zoveel mogelijk infecties veroorzaken

Beckers stelt dat gebruikers van toegankelijkheidsdiensten niet per se meer risico lopen, “Zolang er apps gebruikt worden uit de Google Play store. Daarnaast komt banking malware ook niet binnen via Google Play, maar meestal via SMS. De aanvallen zijn niet per definitie gericht op gebruikers van deze services. Ze willen gewoon zoveel mogelijk infecties veroorzaken en kijken daarna pas waar iets te halen valt. Met bijvoorbeeld Sharkbot kunnen zo’n 23 verschillende bank-apps worden misbruikt. Maar er zijn ook vormen van Malware zoals EventBot die 200 apps kunnen aanvallen. Het past in de algehele trend van gigantische hoeveelheden ongerichte aanvallen.”

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.