Skip to main content

Artikel

Bankbedrägeri på WhatsApp

Amit Tambe
Amit Tambe
|
18 feb. 2025
|
4 min lästid

Bedrägerier kan äga rum var som helst, så länge brottslingarna lyckas nå sitt mål. F‑Secure har identifierat ett bedrägeri som växer snabbt, särskilt i Indien. Även om bedrägeriet inte har spridit sig till Sverige kan vem som helst utsättas för en liknande attack, oavsett var man bor — allt man behöver är en smart­phone och ett bank­konto.

Bedrägeriet börjar med ett med­delande på Whats­App där offret upp­manas att ladda ner en skadlig Android-applikation. Avsändaren påstår sig komma från en välkänd bank.

En skärmdump av en WhatsApp-chatt med en bedragare som utger sig för att representera Axis Bank.

Bild 1: Ett bluffmeddelande som uppmanar mottagaren att agera snabbt. (Bilden publicerades ursprungligen på LinkedIn.)

En skärmdump av en annan WhatsApp-chatt med en bedragare som låtsas representera ”axis bank”.

Bild 2. Ett till bluffmeddelande (som fångats upp av F‑Secure) som uppmanar mottagaren att agera snabbt.

Offret får först ett meddelande på WhatsApp som betonar hur brådskande situationen är och avsändaren hotar att stänga mot­tagarens bank­konto. Bedragarna försöker också övertyga offret om att installera en APK-fil som bifogas i meddelandet och hävdar att det är nödvändigt att uppdatera användarens uppgifter.

APK är ett vanligt filformat som används på Android, men i det här fallet är filen infekterad med malware. Angriparen hoppas att målet för bedrägeriet kommer att installera den infekterade APK-filen så att den skadliga program­varan kan ta över enheten.

Hur fungerar bluffen i ett bank­bedrägeri?

Vad händer efter att offret har laddat ner den skadliga filen? Vi lyckades till­handa­hålla ett WhatsApp-meddelande från vår källa (figur 2) och analyserade APK-filen som följde med meddelandet. Vi upptäckte följande:

Efter installation av den skadliga filen ber en förfalskad bank­app om till­stånd att läsa och skicka SMS (bild 3). Detta kan verka ofarligt, men det är viktigt att den skadliga program­varan får tillstånd för att kunna fungera korrekt. Vi kommer senare att förklara varför bank­bedrägeriet behöver användarens tillstånd för att lyckas.

En skärmdump av den falska Axis Bank-appen som begär tillstånd att skicka och visa SMS-meddelanden.

Bild 3. Skadlig programvara som ber om behörighet att läsa och skicka SMS.

Efter att ha erhållit nödvändiga behörigheter tar den skadliga applikationen användaren till nästa steg, där offret ska ange personlig information i flera olika vyer (bild 4). Informationen som begärs är bland annat telefon­nummer, personligt konto­nummer eller bank-ID, födelse­datum och betal­korts­nummer.

Tre skärmdumpar av den falska Axis Bank-appen som samlar in användarens personliga information.

Bild 4. Den skadliga appen guidar användaren genom olika vyer där hen ska uppge personlig information.

När offret har uppgett all begärd information syns ett falskt ”bekräftelse­meddelande” på skärmen (bild 5) där det står att den begärda informationen har sparats. I själva verket får användarens bank inte någon av de uppgifter som offret har skickat.

En skärmdump av den falska Axis Bank-appen som visar en stor bock och ”Success” i grönt.

Bild 5. Falskt ”bekräftelse­meddelande”.

En skärmdump av den falska Axis Bank-appen som visar en dåligt skriven ”Viktig anmärkning” för att inte ta bort eller avinstallera appen.

Bild 6. Ett alternativt ”bekräftelse­meddelande” som uppmanar användaren att inte avinstallera appen.

I andra bankbedrägerier som vi har analyserat innehåller den sista vyn ett ”bekräftelse­meddelande” och en text som uppmanar användaren till att inte avinstallera applikationen (bild 6). Detta beror på att ”bank­appen” i fråga inte finns till­gänglig i Play Store.

Vad är det egentligen som händer på användarens enhet?

Den som utsätts för ett bank­bedrägeri kanske inte miss­tänker att något ovanligt pågår. I själva verket har den skadliga program­varan fått obehörig åtkomst till offrets bank­konto. Så här kapas offrets bank­konto och värde­fulla data bakom kulisserna:

Appen stjäl offrets data och bank-ID

Som vi såg ovan påstår den falska bank­appen att den behöver användarens information för att uppdatera bank­kontot. I själva verket samlar bank­bedrägeriet in offrets uppgifter utan att offret märker det. De uppgifter som offret uppger över­förs antingen till en moln­databas eller till en server som kontrolleras av angriparen.

En skärmdump av applikationskoden, med rader som är relevanta för ifyllandet av formuläret markerade med gult.

Bild 7. Offrets uppgifter laddas upp till bedragarens databas.

Appen kringgår två­faktors­autentisering

Huvudsyftet med ett bank­bedrägeri är att stjäla offrets bank­uppgifter. När bedragarna har fått den nöd­vändiga informationen är de klara att kapa bank­kontot, förutsatt att de lyckas logga in på offrets bank­konto.

Den riktiga banken skickar vanligtvis ett engångs­lösen­ord till användarens mobil varje gång de loggar in, om de har aktiverat två­faktors­autentisering. Bedragarna använder därmed inte bara bank­uppgifterna för att komma åt offrets konto — de behöver också engångs­lösen­ordet som skickas till offrets mobil.

För att komma åt engångs­lösen­ordet måste bedragaren över­tyga offret om att bevilja nöd­vändiga åtkomst­rättigheter. Minns du fort­farande den tidigare begäran om till­stånd att skicka och läsa SMS (bild 3)? Till­ståndet gör det också möjligt för bedragaren att fånga upp engångs­lösen­ordet som skickas av banken.

Det skadliga programmet känner automatiskt igen lösen­ordet som skickas till offrets mobil och vidare­befordrar det till telefon­numret som bedragaren har angett. Lösen­ordet gör det möjligt för bedragaren att kringgå två­faktors­autentiseringen och logga in på offrets konto.

En skärmdump av applikationskoden som hanterar förbikopplingen av multifaktorautentisering.

Bild 8. Denna kodbit vidarebefordrar alla SMS till bedragaren.

Sammanfattning: Akta dig för bankbedrägerier som utförs i din banks namn

Bankbedrägerier riktar sig för till­fället ännu mot indiska banker, men bedragare kan använda liknande taktik på andra håll. Dess­utom kan bedragare också utge sig för att vara andra betrodda tjänster, inte bara banker.

WhatsApp har en stor användarbas, vilket innebär att offren kan befinna sig över hela världen. Vi råder dig att vara försiktig om någon skickar okända länkar eller bilagor till dig via Whats­App. Kom också ihåg att banker aldrig ber om sina kunders bank­uppgifter.

Dina pengar och uppgifter är säkra om du är vaksam och känner igen varnings­tecknen på bedrägerier.

  • devices secured illustration

    Skydda allt du gör online

    Få heltäckande onlinesäkerhet i en enda app.

    Skydda dig idag

    • Sidavsnitt

    I den här artikeln:

    Hur fungerar bluffen i ett bank­bedrägeri?Vad är det egentligen som händer på användarens enhet?Sammanfattning: Akta dig för bankbedrägerier som utförs i din banks namn
    total app on different devices

    Skydda din enhet från malware med F‑Secure Total

    Att skydda dina enheter från malware är viktigt för att stärka nätverks­säkerheten. F‑Secure Total gör det enkelt och hjälper dig att skydda dina enheter på ett briljant och enkelt sätt.

    • Skydd för surf, bankärenden och shopping på nätet

    • Prisbelönt antivirus och malwareskydd

    • 24/7 övervakning av onlineidentitet och dataintrång

    • Obegränsad VPN för att skydda din integritet

    • Lösenordshanterare med skydd för privata uppgifter

    Läs mer om Total