Android-trojan na ongewone DNS-piek gekoppeld aan Cambodja

In dit artikel:

Onderzoekers van Infoblox Threat Intel en het Vietnamese non-profit Chong Lua Dao ontdekten een Android-bankingtrojan die wordt aangeboden via een malware‑as‑a‑service-platform dat maandelijks ~35 nieuwe domeinen registreert en actief is in minstens 21 landen. De ontdekking volgde op een piek in afwijkend DNS‑verkeer bij Infoblox-klanten. De operatie lijkt deels te worden aangestuurd vanuit de K99 Triumph City‑compound in Cambodja, een locatie die eerder door de VN werd genoemd in verband met grootschalige oplichting en dwangarbeid.

Het platform verspreidt nep‑apps die banken, sociale zekerheid, belastingdiensten, nutsbedrijven en politie imiteren, met zware focus op gebruikers in Indonesië, Thailand, Spanje en Turkije. De malware vangt gezichtsherkenningsdata tijdens valse KYC‑checks, onderschept SMS‑OTP’s en logt heimelijk in op mobiele bankierenapps om geld over landsgrenzen te verplaatsen. “Dit zijn geen willekeurige, eenmalige oplichtingspraktijken. Het zijn fabrieksmatige acties… dit is een onomstotelijke bevestiging”, aldus Dr. Renée Burton (Infoblox).

Advies: installeer alleen apps uit officiële stores, wees terughoudend met links/attachments en gebruik waar mogelijk authenticator‑apps in plaats van SMS‑codes.