Duizenden installaties van malafide software na golf van misleidende sms'jes

Duizenden Nederlanders hebben onbedoeld de kwaadaardige software geïnstalleerd die de afgelopen dagen massaal via sms wordt verspreid, zeggen beveiligingsbedrijven ThreatFabric en ESET dinsdag tegen NU.nl. De Betaalvereniging Nederland, die de banken vertegenwoordigt, kan de cijfers niet een op een bevestigen, maar vindt het genoemde aantal slachtoffers "heel waarschijnlijk".

In het misleidende sms'je staat een link waarmee het slachtoffer zogenaamd een pakket kan volgen. In werkelijkheid probeert de verzender het doelwit ertoe over te halen malafide software (malware) te downloaden.

Eenmaal geïnstalleerd kan de kwaadaardige software een vals inlogscherm voor mobiel bankieren tonen, om zo uiteindelijk geld te stelen. Ook raadpleegt de malware het adresboek van de telefoon om zichzelf verder te verspreiden.

Onder meer de Fraudehelpdesk en KPN waarschuwden vrijdag voor de sms'jes. Zij raden aan om niet op de link te klikken. Door het bericht simpelweg te negeren, kunnen mensen installatie van de kwaadaardige software voorkomen.

"De malware moet echt op het apparaat draaien om actief te zijn", zegt Han Sahin van ThreatFabric, een bedrijf dat mobiele dreigingen in kaart brengt voor banken.

Het bedrijf onderscheidt twee verschillende soorten malware achter de linkjes, die Anatsa en FluBot worden genoemd. "De eerste is wat geavanceerder en zien wij vooral nu in Nederland, maar ook FluBot kan nog steeds gevaarlijke dingen doen", zegt Sahin.

"Vooral mensen met een Android-telefoon moeten uitkijken, omdat je daarmee de app buiten de Play Store downloadt en de malware slim misbruik maakt van de mogelijkheden die Android biedt."

Grotere verspreiding in de aanloop naar Pinksteren
De sms'jes met malafide link gingen eerder deze maand al rond, zegt Berend Jan Beugel van de Betaalvereniging dinsdag tegen NU.nl, maar de vereniging zag in de aanloop naar Pinksteren een zorgwekkende toename.

"Het is slim van criminelen om dit soort campagnes op bepaalde momenten te voeren", denkt Sahin. "Ze doen dat zo vlak voor het pinksterweekend, omdat ze weten dat de bankmedewerkers dan vrij zijn."

"Afgelopen weekend alleen al zagen we onder onze klanten in Nederland meer dan tweehonderd infecties", zegt ESET-directeur Dave Maasland. "Dat is voor Android-begrippen heel veel."

"Ervan uitgaande dat maar een klein percentage daadwerkelijk klikt en wij niet zien wat er buiten onze klanten gebeurt, vermoed ik dat het om in totaal duizenden infecties gaat."

Het is niet bekend in welke mate de infecties ook tot daadwerkelijke financiële schade hebben geleid. Wel houden de banken een wakend oog op verdachte transacties die het gevolg kunnen zijn van de malware, aldus Beugel van de Betaalvereniging.

Malware is op verschillende manieren te verwijderen
Heb je toch op de link geklikt en de malware geïnstalleerd? Je kunt de kwaadaardige software op verschillende manieren verwijderen:

De eenvoudige en rigoureuze manier is je telefoon resetten naar fabrieksinstellingen. Daarmee wis je alle gegevens, dus ook de malware, en kun je met 'verse' software opnieuw beginnen. Lees hier hoe je dat doet.
Om te voorkomen dat je niet al je apps, foto's en gegevens kwijtraakt, kun je een volledige back-up terugzetten. Lees hier hoe je dat doet.
Een back-up herstelt geen foto's, gegevens en andere bestanden die na de datum op je smartphone zijn opgeslagen. Maak daarom regelmatig een reservekopie. Kopieer gegevens die je wil redden, maar niet in je recentste back-up zitten, vóór je het apparaat reset handmatig naar een plek buiten je toestel.
Let op: als je ná de infectie een back-up maakt en daarna terugzet, loop je het risico dat je de malware simpelweg mee kopieert. Gebruik daarom een back-up van vóór de infectie.
Je kunt de malware ook handmatig van je smartphone halen:

Herstart je telefoon in veilige modus. Doe dit door de fysieke aan/uit-knop lang in te drukken, tot op je scherm opties voor het uitschakelen of opnieuw opstarten verschijnen. Houd ook de virtuele knop lang ingedrukt tot de optie verschijnt.
Eenmaal in de veilige modus kun je in de instellingen bij het overzicht van geïnstalleerde apps zoeken naar de malafide app en deze verwijderen.
Schakel de veilige modus uit door de telefoon opnieuw op te starten. Lees hier meer over deze methode.