Securityonderzoekers hebben een Android-banking trojan ontdekt die vermoedelijk opereert vanuit de K99 Triumph City-compound in Cambodja. Het malware-as-a-service-platform registreert elke maand circa 35 nieuwe domeinen en is actief in minimaal 21 landen.
Infoblox Threat Intel en het Vietnamese non-profit Chong Lua Dao kwamen de Android-banking trojan op het spoor. Dit na een piek in afwijkend DNS-verkeer via Infoblox-klantnetwerken. Het leidde naar een tot dan toe ongedocumenteerd malware-as-a-service-platform.
De activiteiten worden vermoedelijk bediend vanuit meerdere locaties, waaronder de K99 Triumph City-compound in Cambodja. Vanuit deze cybercrimehub worden verschillende malwarecampagnes gerund. Die locatie stond al eerder op de radar van de VN vanwege grootschalige oplichting en dwangarbeid.
“Dit zijn geen willekeurige, eenmalige oplichtingspraktijken. Het zijn fabrieksmatige acties. We wisten al jaren dat deze frauduleuze praktijken bestonden en vermoedden dat er op de sites malware werd verspreid, maar dit is een onomstotelijke bevestiging”, stelt Dr. Renée Burton, VP van Infoblox Threat Intel.
Nep-apps van bank tot belastingdienst
Het platform registreert elke maand circa 35 nieuwe domeinen die banken, sociale-zekerheidsdiensten, belastingautoriteiten, nutsbedrijven en politie imiteren in minimaal 21 landen. De zwaarste activiteit richt zich op gebruikers in Indonesië, Thailand, Spanje en Turkije. Zodra slachtoffers de nep-app installeren, krijgen operators volledige controle over het apparaat. De trojan legt gezichtsherkenningsdata vast tijdens vervalste Know Your Customer-checks, onderschept SMS-eenmalige toegangscodes en logt stilletjes in op mobiele bankieren-apps om geld over landsgrenzen te sluizen. Het maakt biometrie en OTP’s daarmee tot aanvalsvectoren voor account-takeover fraude.