SMS h@cks ?

- c o n c e p t -

"Noord Koreah@ck" onderzoekje en advies

17.04.2023 10.00 - 23.04.2023 13:00 Samenvatting door AI's (experimenteel)

Begin april 2023

Melding:

Goed geinformeerde gebruiker ("contactpersoon") was aan het bellen via mobieltje, met providerabonnement, met relatie toen de verbinding ineens verbroken werd... Vlak erop werd hij gebeld door een +85-nummer, denkende dat het een 085 nummer betreft. Hij nam het gesprek aan, hoorde verder niets en heeft toen gesprek weggedrukt.....toen is het kennelijk misgegaan?

Opmerking: dit feit was als zodanig compleet nieuw voor mij en leek aanvankelijk discutabel...inbreuk op telefonie(deel) van een Smartphone van buiten en het daarna (automatisch) verzenden vanSMS-berichten via het telefonie(deel) van de Smartphone. Reden voor mij om een en ander nader uit te zoeken.

duurste (bedrijfs)abonnementsvorm ca. EU 60 - EU 70,= / maand
- "onbeperkt" bellen
- "onbeperkt" SMS'en
  - de verstuurde SMS's vallen kennelijk buiten deze (duurste) provider-"bundel"
- "onbeperkt" datagebruik

Gebeurtenis

Gewaarschuwd door provider dat bovenmatig gecommuniceerd is: EU 300,= kosten: afwijkend gedrag,
- waren wel honderd SMS's snel achter elkaar naar +85 xxxx gestuurd (Noord Korea),
- SMS kost EU 0,30 / SMS; bij elkaar EU 300,= op korte tijd verbruikt,
Persoon / Toestel had, volgens provider, contact opgenomen met dat buitenlands nummer. Echter de klant had dat zeker niet zelf geinitieerd!)
Hij werd gevraagd dit op papier te zetten en heeft het als 'klacht' ingediend maar het heeft niets opgeleverd,
Moest toch betalen, want provider moest ook betalen aan Noord Koreaanse, (tussen)providers.....,
Advies provider: Smartphone is gehacked: toestel naar fabrieksinstellingen terug te zetten ; wachtwoorden? <= betekent dus malware of hack.
Ondertussen had provider het SMS'en geblokkeerd. Toen de klant zijn nummer wilde her-activeren kon dat alleen via SMS wat dus op dat moment niet lukte. Op de eerstevolgende werkdag SMS open laten zetten waarna alles weer werkte als normaal

1e conclusie

Wat miste ik eigenlijk voor concretere analyse:

Voorgeschiedenis, gedrag en kennis en kunde van gebruiker; 'awareness'
Type telefoon, Android versie, updates, beveiligingsinstellingen apparaat en - beveiligingsapps, status
Apps die erop staan en net ervoor werden geinstalleerd dd:tt
Logs van provider dd:tt; exacte tijdstippen dat een en ander precies heeft plaatsgevonden
exacte handeling kip-ei-kip. Eigenlijk zou onderbreken van gesprek, gebeld wordendoor +85 en vervolgens honderden SMS'sversturen, niet matchen met de verwachting dat Malware de oorzaak is,,,,
Relatie thuisnetwerk status
....

Dit is compleet nieuw voor mij! Gebruiker had alleen maar gesprek aangenomen.....Tot heden kon dat nooit kwaad; sinds kort dus wel. Zal volgens mij niet door telefoongedeelte zijn binnengekomen; de kans is groter groter via besmetting dmv malware ('virus') in een (malafide) app op het "computer-gedeelte"! Wel vreemd die onderbreking van lopend gesprek en daarna +85 nummer dat hem belt waarna het SMS'en is ontstaan!!! Is dit de trigger??? zie onderin een schermafdruk van eenzelfde geval bij mij zelf)

Acties John

ik ga dit verder uitzoeken: direct vandaag gedaan: technisch complex!
geadviseerd om Rechtsbijstand verzekering in te schakelen
optie: Fraude helpdesk eventueel benaderen en aangifte Politie doen
indien dit echt iets nieuws is via opnemen +85 telefeoonnummer, dan deze week al mijn relaties ervoor waarschuwen via Facebook / LinkedIn.

Welke netnummer is 085?

Een 085-nummer is een Nederlands telefoonnummer dat niet gebonden is aan een bepaalde regio. Waar de meeste 'vaste' telefoonnummers bij een regio horen, zoals bijvoorbeeld 010 voor Rotterdam, 020 voor Amsterdam, of 050 voor Groningen, is een 085-nummer niet gebonden aan een regio.

Huidige status van 085-nummers:

Inmiddels anno 2022 : bedrijven stappen over van een vast regionaal telefoonnummer naar een 085 nummer met een landelijke uitstraling. Zo zijn ze minder aan een bepaalde regio gebonden en hebben ze een landelijk vast nummer met een professionele uitstraling die ook nog eens goed vanuit het buitenland bereikbaar is.

De 085-nummerreeks is erg populair. Er zijn veel ondernemers die een 085-nummer inzetten. Soms als bedrijfsnummer, andere keren ter ondersteuning van een actie of als tijdelijk (klanten)servicenummer. Ook veel zzp'ers, ondernemers en webshops maken er graag gebruik van om een goede bereikbaarheid te garanderen.

Wat kost bellen naar 085 nummers?

Bellen naar 085-nummers is in alle gevallen mogelijk binnen de bestaande belbundel van het abonnement tegen het lokale tarief.

Opmerking: verder ook niet interessant; ging om welke plaats ter verdere informatie.

Welk telefoonnummer heeft landcode +85?

Internationale telefoonnumerlijst

noord korea 850

Een buitenlands nummer wordt vaak weergegeven met een plusteken (+), gevolgd door het hierboven te vinden landnummer en dan het netnummer en het abonneenummer.

Het plusteken is een aanduiding voor de internationale toegangscode (00 bijv. exit-code genaamd) In Nederland is dat 00 (tweemaal nul), de plus moet tijdens het draaien dus vervangen worden door twee nullen.

Bij het bellen naar de meeste Europese landen vervalt in het netnummer de eerste nul.

https://www.nationaletelefoongids.nl/landcode/
- Exit Code - Landcode - Telefoonnummer 00 - 61 - 123 45678 naar Australie bellen
- Noord-Korea 99 850 exit-code en landcode
- Duitsland 00 49

Opmerking:

dit is al een ingewikkeld gedoe...wat laat het schermpje zien als iemand uit dat land belt?

Maar los daarvan is het automatisch SMS-versturen een anderverhaal; daar op aanhaken.

Should I be suspicious of a call or text from an ‘855’ area code? mei 2022
- If you receive a call from a solicitor, do not answer any questions with “Yes” or “No”. Some bad actors record these responses and later use them as your voice response to conduct transactions in your name. Instead, answer questions with questions. It is hard to avoid saying “No”, because it also sounds like “know”. Best is to hang up

Mogelijkheden

die ik verder zal uitdiepen.

1) via "telefoon"-gedeelte van de Smartphone gehacked

2) via "computer"-gedeelte van de Smartphone: "apps"

a, b, c, d, e, f

3) oude niet meer ondersteunde telefoon?

4) via vrij nieuwe bug (maart 2023) in veel Samsung telefoons met lek in modem-hardware

5) Cyberwar 2023

ad 1) Hacker via telefonie-gedeelte<= kleine kans volgens mij

What type of fraud does it detect?
- This feature detects SMS pumping fraud. SMS pumping happens when fraudsters take advantage of a phone number input field to receive something via SMS. If the form does not have enough controls, attackers can inflate traffic and exploit your app. This feature does not detect VoIP, burner phones, or anything voice fraud related. **** ingewikkeld verhaal NVT **
- A complete guide to SMS fraud detection and prevention Sep 13th, 2022

- Our mobiles are now integral to our everyday lives, and SMS is one of the key channels we use to interact both with friends and the brands we buy from. Unfortunately, criminals and devious businesses know this and are always devising new ways of using SMS to extract money or personal information from us.
- In this blog we cover all the possible ways that fraudsters can get at us via SMS, how to recognize threats, and what mobile operators can do to protect their customers.
  - SMS grey routes represent a type of fraud committed by rogue mobile operators where A2P SMS messages, which should be charged at a premium rate, are passed off as P2P traffic for all or parts of their journey to benefit from reduced rates.
  - This results in the telecom providers, who facilitate the delivery of the messages through their network infrastructure, not being compensated for the services they provide.
  - ...
  - A key part of this defense is SMS firewalls which provide...

Rapport (2020?)

Fraude-uitdagingen in het messaging-ecosysteem, Fraude met kunstmatige sms-verkeersinflatie

In een recent door ons gepubliceerd rapport beschreven we hoe onze sms-firewall als eerste een voorheen onbekende vorm van fraude detecteerde die zich wereldwijd verspreidde. Het identificeerde een ongebruikelijk inhoudspatroon van sms-berichten dat geen A2P-verkeer of legitieme P2P-berichten leek te zijn. Het was ook geen spam omdat de berichten waren terug te voeren op legitieme afzenders.

Wat is P2P en A2P messaging? - Twilio Support

Dit voorbeeld laat onomstotelijk zien dat het implementeren van een fraudebestrijdingsoplossing niet alleen een afvinkoefening is voor telecomproviders. Het is absoluut noodzakelijk dat ze hun krachten bundelen met een deskundige technologiepartner die voortdurend controleert en zich aanpast om ervoor te zorgen dat zijn tools effectief zijn tegen de nieuwste bedreigingen. Met zijn wereldwijde aanwezigheid en ongeëvenaard team van SMS-beveiligingsexperts is Infobip gekwalificeerd en bereid om deze rol van medebewaker van de mobiele eco-sfeer op zich te nemen.

De volgende veronderstelling was dat dit spamverkeer was, maar na verdere analyse en afstemming met de mobiele operator bleek dat afzenders echte abonnees waren en dat deze berichten door abonnees, of beter gezegd, door hun smartphone werden verzonden. Een veelbetekenend teken dat dit potentiële fraude is, was het feit dat de ontvangers van berichten MSIDSNs waren op internationale bestemmingen met hoge berichtkosten. Dit betekende dat abonnees hoge kosten moesten betalen en ook hoge roamingkosten voor de operator. Dit is wat de GSMA Artificial Traffic Inflation Fraud noemt, en het wordt aangestuurd door mobiele abonnees die internationale sms-berichten verzenden via een specifieke app.
Dit kan een bewuste installatie van een frauduleuze app zijn, maar waar de abonnee zich niet van bewust is, is het een fraudetechniek.
Een andere mogelijkheid is dat een app sms-berichten verstuurt zonder dat de gebruiker het weet. Deze app kan een app zijn die zich voordoet als legitiem, b.v. gaming-app of een frauduleuze imitatie van een legitieme app.

Door verdere analyse werd dit type fraude gedetecteerd in meerdere Infobip SMS-firewall-implementaties, in verschillende regio's over de hele wereld, wat suggereert dat dit een wereldwijde dreiging was. Bovendien zegt de weinige informatie die beschikbaar is over deze fraude dat er geen gevallen op iOS-apparaten waren gemeld. Android-apparaten hebben meer mogelijkheden voor gebruikers om ingebouwde winkelbeveiligingen te omzeilen en niet-goedgekeurde en mogelijk onveilige apps te installeren die malware kunnen verspreiden of, zoals in dit geval, zowel de gebruiker als de mobiele operator kunnen bedriegen.

https://cf-cdn.infobip.com/assets/documents/Infobip_Whitepaper_SMS_FW_fraud_detection.pdf

Deze nieuwe fraudezaak is slechts een verder bewijs dat het sms-ecosysteem evolueert en daarmee het fraudepotentieel. Het feit dat het werd ontdekt door een sms-firewall, toont aan dat sms-firewalls een functie hebben die verder gaat dan het detecteren en voorkomen van het omzeilen van sms-kosten, en dat ze effectief en flexibel genoeg zijn om zich aan te passen aan evoluerende fraudescenario's. De focus van fraudeurs in het dynamische sms-ecosysteem maakt een goede netwerkbeveiliging geen optie, maar een noodzaak voor elke mobiele operator. Hoewel het moeilijk is om alle mogelijke bronnen van fraude te identificeren omdat ze altijd met terugwerkende kracht worden ontdekt, zijn operators niet weerloos. Ze zijn nog steeds in staat om het probleem efficiënt te verminderen door frauduleus verkeer te blokkeren terwijl het probleem wordt aangepakt tussen operators en technologiepartners. In de toekomst moeten spelers uit de sector zich inzetten en nauw samenwerken bij het identificeren en bestrijden van opkomende fraudegevallen. Het vereist wel een bredere actie van het mobiele ecosysteem, maar het is de enige juiste manier om transparantie en veiligheid te garanderen, en een mobiel ecosysteem waar iedereen gedijt – mobiele operators, technologieleveranciers en, uiteindelijk en vooral, mobiele gebruikers.

ad 2) Hacker / malware via app -> SMS Fraude <= grootste kans volgens mij

2a) Software: besmette of malafide Apps al / niet buiten Google Play store....

Kwaadaardige Android-apps en nep-apps Bedreigers gebruiken vaak een kwaadwillende app om slachtoffers, voornamelijk Android-gebruikers, op te lichten om zich aan te melden voor een valse premium sms-abonnementsservice die tot hoge kosten op hun telefoonrekening leidt. Het geadverteerde doel van de app heeft meestal niets te maken met het sms-abonnement en daarom komen de zwendel-apps vaak in officiële app-winkels zoals de Google Play Store. De geadverteerde functies van de kwaadaardige apps omvatten zaken als aangepaste toetsenborden, QR-codescanners, foto-editors en camerafilters, spamoproepblokkers, spambescherming, games en meer.............

Dezelfde nep-app heeft vaak duizenden downloads in de Google Play Store, waardoor het legitiem lijkt voor de slachtoffers. Daarom is het altijd belangrijk om onderzoek te doen naar nieuwe apps. Als ze veel negatieve beoordelingen in de Play Store hebben of het moeilijk maken om toegang te krijgen tot basisontwikkelaarsprofielen, is het waarschijnlijk beter om weg te blijven, zelfs als ze als de eerste apps in een categorie verschijnen. U wilt absoluut geen persoonlijk of leuk telefoonnummer opgeven zonder de kleine lettertjes te lezen.

malicious app to scam victims, Android premium SMS subscription service
- SMS Trojans
- Flubot besmetting

2b) Hardware zwakheden / bugs

Nieuwe recentelijke hack-methode via VIVO-modem (in miljoenen) Android telefoons waarvoor Google al een update heeft uitgebracht en Samsung (nog) niet. Wel zijn er work-arounds om Voice over Internet tijdelijk uit te schakelen.....

2a) Wangirifraude: kort eenmalig belletje waarop je snel terugbelt

Buitenlandse telefoonfraudeurs bestoken Nederlandse mobiele bellers met spooktelefoontjes, ook wel Wangiri. Je krijgt een kort belletje in de hoop dat je het onbekende nummer terugbelt en hoge kosten betaalt als je niet ophangt.

Deze vorm van fraude heet wangiri-fraude. Wangiri betekent in het Japans iets als: één rinkel. En dat is precies wat er gebeurt. Met slimme trucs proberen de fraudeurs daarna terugbellers zolang mogelijk aan de lijn te houden.

Je belt dan met een soort betaald 0900-nummer in het buitenland

Wangiri fraude 2019

Je krijgt een ingesprektoon te horen en denkt dat er geen verbinding is, terwijl er in feite een bandje meeloopt. Als je niet zelf actief de verbinding verbreekt kan de telefoonrekening vele minuten lang blijven oplopen. Komt het nummer bijvoorbeeld uit Afghanistan, dan kun je voor een minuut bellen tussen de 1 en 2 euro kwijt zijn.
of je hoort niets en bent verbonden met een premium duur nummer ergens veraf.

Advies is dan ook om een vreemd nummer uit het buitenland niet op te nemen en ook niet terug te bellen. Dan zou er niks aan de hand moeten zijn. Bij opnemen gaan ze je 'bespelen' etc.

Word je geconfronteerd met hoge telefoonkosten omdat je veel naar buitenland zou hebben gebeld, terwijl dat niet zo is? Doe dan aangifte bij de politie en ga in overleg met je provider.

https://www.kpn.com/beleef/blog/wangiri-fraude-oppassen.htm 5 maart 2021

Opmerking:

Dit betreft terugbellen / bellen en geen automatisch snel SMS's versturen: daar op inhaken. NVT

2b) Google multiple automatic SMS fraud

https://www.cm.com/nl-nl/blog/voorkom-fraude-met-jouw-sms-en-voice-accounts/ Feb 13, 2023
- SMS pumping en Toll Fraud
  - Een gehackt account is niet het enige frauderisico bij conversational commerce; je moet jezelf ook beschermen tegen zogenaamde SMS pumping of Artificially Inflated Traffic (AIT)-fraude en toll fraud waarbij de fraudeur misbruik maakt van jouw website en de verificatiemogelijkheden.
https://www.geoedge.com/those-unsolicited-sms-subscription-alerts-arent-just-annoying-theyre-fraudulent/
- Yet even in the internet age, these premium SMS subscriptions still exist. But now they’re being exploited by threat actors who have developed ways to automatically sign up users to an SMS subscription service and then pocket the premium SMS charges.
- In Italy, scammers deploy code through advertising channels like banner ads or numerous catchy video advertisements that don’t seem to have anything to do with a paid SMS subscription, or prompt a user to subscribe to a list. But if and when a user clicks on the ad – whether intentionally or not – the scammers’ code is deployed.
- Malicious Android apps and fake apps
  - Threat actors often use a malicious app to scam victims, primarily Android users into signing up for a bogus premium SMS subscription service that leads to big charges on their phone bill. The app’s advertised purpose usually has nothing to do with the SMS subscription, and therefore the scam apps often make it into official app stores like Google Play Store. The malicious apps’ advertised features include things like custom keyboards, QR code scanners, photo editors and camera filters, spam call blockers, spam protection, games, and more.
- The same fake app often has thousands of downloads in the Google Play Store, making it look legit to victims. That’s why it’s always important to do research on new apps. If they have numerous negative reviews in the Play Store, or make it difficult to access basic developer profiles, it’s probably better to stay away, even if they appear as the first apps in a category. You definitely don’t want to provide personal or like your phone number without reading the fine print.

KPN

https://forum.kpn.com/mobiel-15/sms-kosten-naar-buitenland-maar-zelf-niks-verstuurd-558950 Sms kosten naar buitenland, maar zelf niks verstuurd | KPN Community 1 jaar geleden <-----kan dit wel zijn? - 2 -
https://forum.kpn.com/facturen-en-administratie-125/mobiele-factuur-ineens-180-euro-duurder-door-telefoontje-met-korea-wat-te-doen-573012 Mobiele factuur ineens 180 euro duurder door telefoontje met Korea? Wat te doen? | KPN Community 7 maanden gelden: bellen NVT
https://forum.kpn.com/mobiel-15/vreemd-sms-gebruik-516920 vreemd sms-gebruik | KPN Community 2 jaar geleden <-----kan dit wel zijn? - 1 -
- Heel bijzonder dat jij ineens een hoge rekening krijgt voor het versturen van sms’jes naar het buitenland, terwijl jij dit verbruik niet zelf herkent. Zoals @GeSp aangeeft, kan dit veroorzaakt worden door een app die op de achtergrond sms’jes verstuurd vanaf jouw telefoonnummer zonder dat jij dit door hebt. Ik raad je daarom aan om te controleren welke apps jij hebt geïnstalleerd rond de tijd dat de hoge kosten zijn ontstaan. Daarnaast raad ik je aan om jouw telefoon op malware te controleren. Je kunt hiervoor Malware Bytes gebruiken.
- Ik wil ook graag een kijkje achter de schermen nemen. Zou je je profiel hier op het forum willen aanvullen met jouw 06-nummer? Je kunt deze plaatsen onder ‘persoonlijke opmerkingen’. De gegevens in jouw profiel zijn alleen zichtbaar voor jou en de moderators van KPN. Geef je een seintje als je jouw profiel hebt ingevuld? Ik wacht je reactie af.
https://forum.kpn.com/mobiel-15/deze-maand-ineens-veel-mobiele-data-gebruikt-573584 november 2022 Data misbruik NVT

BRONNEN

Diverse Providers bekijken

... Vodafone, Ziggo... enkele logs / fora bekeken: vergelijkbaar met KPN NVT

Overheid

https://www.fraudehelpdesk.nl/alert/gevaarlijke-berichten-via-messenger/ Frauduleueze SMS links...NVT

AV-providers: McAfee, Avira...

Avira’s Cyber Threat Report: Latest Trends and Emerging Threats 23 March 2023 <= mooi rapport o.a. SMS fraud

Overige Security nieuwsbronnen

https://thehackernews.com/
....

2c) Fluebot NVT

Takedown of SMS-based FluBot spyware infecting Android phones | Europol - Here is how FluBot worked
- An international law enforcement operation involving 11 countries has resulted in the takedown of one of the fastest-spreading mobile malware to date. Known as FluBot, this Android malware has been spreading aggressively through SMS, stealing passwords, online banking details and other sensitive information from infected smartphones across the world. Its infrastructure was successfully disrupted earlier in May by the Dutch Police (Politie), rendering this strain of malware inactive.
- This strain of malware was able to spread like wildfire due to its ability to access an infected smartphone’s contacts.
https://forum.kpn.com/online-veiligheid-25/flubot-malware-op-android-toestellen-track-en-trace-sms-541149 Flubot malware op Android toestellen (track en trace sms) | KPN Community. Je kunt ineens niet meer bellen/SMS’en/internetten. Je ontvangt rare SMS'jes van mensen die je niet kent, waar in staat dat je hén berichten zou hebben gestuurd, maar je weet nergens van NVT
https://hacked.com/new-flubot-virus-sweeping-the-world-hits-norway/ NVT
Valse voicemail-app van 'Ziggo' bevat schadelijke Android-malware 'FluBot' Alert 22-11-2021 Opgelicht Avro/TROS
- De schadelijke FluBot-malware die voor bezitters van een Android-telefoon een grote bedreiging vormt, is opgedoken in de vorm van een valse voicemail-app van 'Ziggo'. Via sms'jes – die overigens automatisch worden verzonden door geïnfecteerde toestellen – hopen oplichters potentiële slachtoffers ertoe te bewegen om deze app te installeren. Al is dat om talloze redenen een buitengewoon slecht idee.
- De malware heeft als één van de talloze vervelende eigenschappen namelijk dat geïnfecteerde toestellen zonder tussenkomst van de rechtmatige eigenaar sms'jes met daarin links naar deze malware naar anderen kunnen verzenden, en dan gaat het doorgaans vrij snel. Het telefoonnummer van wie jij een dergelijke sms krijgt, is dan ook niet zozeer van een oplichter, maar van een willekeurig geïnfecteerd toestel.
KPN waarschuwt klanten: 'Controleer je telefoonrekening wegens nieuwe Android-malware' Alert 20-05-2021
Android telefoons besmet met flubot: wat is het en wat moet je doen? 9 maart 2023
- Hoe moet je Flubot malware verwijderen van je telefoon?
  - Opnieuw opstarten in de veilige modus
  - Je telefoon terugzetten naar fabrieksinstellingen

AV-scanner?

Ook zonder virusscanner op Android goed beveiligd

Dat een virusscanner handig is, weet je nu. Het helpt goed bij het herkennen van malware en spyware. Toch is het geen absolute noodzaak voor je Android telefoon. Google controleert apps namelijk zelf al grondig en dat is al heel betrouwbaar.

Heb je een virusscanner nodig voor Android? 18.11.2021
Malware Bytes Android? <-KPN Forum advies. Ik gebruikte die al jaren als second opinion scanner op mijn PC's

ad 3) Oude niet meer (security) ondersteunde telefoon?

zie Google

ad 4) Kan Android gehackt worden? * NIEUW van TV! * zeer gevaarlijk

Verschillende populaire smartphones van Samsung en Vivo kunnen kinderlijk eenvoudig worden gehackt door kwaadwillenden, zo waarschuwt Google. In meerdere modellen zit een zogenaamd Exynos-modem: daarin zitten verschillende kwetsbaarheden waardoor hackers ongemerkt je telefoon kunnen binnendringen.17 mrt 2023

VS waarschuwt voor actief aangevallen kwetsbaarheid in Samsung-telefoons - De Amerikaanse overheid waarschuwt voor een actief aangevallen kwetsbaarheid in telefoons van Samsung waardoor een aanvaller die al toegang tot het toestel heeft, of een malafide app, de ASLR-beveiliging kan omzeilen. Samsung kwam begin deze maand met ...22.05.2023
Google: "Miljoenen Samsung-telefoons kunnen eenvoudig worden gehackt" 17-03-2023 BNNVara - Kassa
...Google

Vier van deze kwetsbaarheden zijn door onderzoekers bestempeld als zó ernstig dat aanvallers ze kunnen misbruiken om op afstand code uit te voeren. Daar is geen interactie van de telefoonbezitter voor nodig, de aanvaller heeft alléén jouw telefoonnummer nodig. Je merkt het waarschijnlijk niet eens, en juist dat maakt het zo gevaarlijk.

Hieronder kunnen we in ieder geval wél noemen welke populaire telefoons kwetsbaar zijn.

Deze Samsung-telefoons zijn kwetsbaar:

Verschillende telefoons van Samsung kunnen via het beveiligingslek worden gehackt. Google noemt in ieder geval toestellen in de volgende series: S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 en A04.

Hoe kun je jezelf beschermen en valt er iets te doen? WORK-AROUND totdat definitieve oplossing

Ja, je kunt alvast wat maatregelen nemen, óók als jouw fabrikant nog geen maatregelen heeft genomen. Je moet de functies Voice-over-LTE én Voice over wifi (bellen via wifi) uitschakelen, daarmee voorkom je dat de kwetsbaarheden kunnen worden misbruikt. Je kunt je telefoon ook gewoon blijven gebruiken, en je kunt gewoon gebeld worden.
- Bellen via 4G (VoLTE) | Samsung Galaxy S21 - T-Mobile
- Turn on Wi-Fi Calling on Galaxy phones - Samsung
30.04.2023: Defintieve oplossing Samsung fixes Wi-Fi calling vulnerabilities affecting recent Galaxy phones By March 28, 2023
The fixes were rolled out as part of the March security update. Eerst de 2 work-arounds terug gezet
- Voorbeeld update: Niveau beveiligingsupdate 1 maart 2023 163,08 MB versie: A..5FXXU2CWC3....

20.04.2023

Frappant of toeval?! 2 SCAM / SPAM-berichten op 1 week tijd....

+85 SMS

Tijdens het onderzoek op deze publieke pagina, ontving in zelf' s avonds een zelfde +85xxx SMS-bericht nadat de contactpersoon de dag ervoor bij mij op bezoek is geweest. Heb het geblokkeerd en verder niets mee gedaan. Zie schermafdruk rechts van mijn telefoon met datum tijd!

+31 850271608 Telefoontje

1 week erna 25.04.2023 14:37

Smartphone ging 1 x over, gemist... en daarna bericht

https://www.wieheeftgebeld.nl/nummer/0850271608 35 beoordelingen dat het SPAM is etc. etc
dus nooit zomaar terugbellen want dat kan heel veel geld kosten!

ad 5) Cyberwar 2023

Wat ook opgemerkt dient te worden zijn de momenteel forse cyberwar-attacks vanuit Noord Korea, China, Rusland etc. Mogelijk is dit bijkomende schade???

Advies (expert)

In Veilige modus malware verwijderen (EXPERT): triggy
Malware Bytes laten controleren en evt opnieuw app(s) verwijderen (EXPERT) heb ik getest: OK

Provider adviseerde consument:

Factory settings.... zoals door provider is aangegeven; is reeds gebeurd < dit werkt altijd

Advies van mij; denk ook aan:

Restore van eerdere (onbesmette!) back-up. Als de Back-up besmet is met de malware dan kom je weer in de frauduleuze situatie etc. etc. Mogelijk worden ook derden uit de contactenlijst ge-SMS'sd en besmet etc. etc
Alle aanwezige apps checken; mbv Malware Bytes apps scannen op malware om te voorkomen dat probleem opnieuw optreedt
.....................

In aller ergste geval, zag ik bij 1 persoon (maar dat geloof ik niet 123) zelfs het advies:

Nieuw nummer / SIM in uiterste geval voor sommige besmettingen als die niet wegbleven met eerdere acties; stond ook ergens in een van de provider logs

Bijlage: Artikelen met enkele voorbeelden van malware die dit kan veroorzaken

Hackers are stealing Gmail messages — delete this extension right now 25 days ago from 19.04.2023
- Deze kwaadaardige browserextensie geeft hackers volledige toegang tot je Gmail-account
- First your Gmail (op de desktop / laptop) computer, then your smartphone
- Once installed in your browser, this malicious extension is able to steal the contents of your Gmail messages and even infect the best Android phones with malware but more on that later.
North Korean Hackers Attack Gmail Users With Malicious Chrome Extensions March 23, 2023
- The Android malware utilized by Kimsuky is a RAT that provides attackers with a range of capabilities to carry out their malicious activities like:-
  - Drop malicious payload
  - Create files
  - Delete files
  - Steal files
  - Get contact lists
  - Perform calls
  - Monitor SMS
  - Send SMS
  - Activate the camera
  - Perform keylogging
  - View the desktop
Risky Biz News: North Korean hackers behind supply chain attack on 3CX - In other news: Lumen discloses two security breaches; UAE users targeted with zero-days from Spanish vendor; VulkanFiles leak exposes Russian military hacking tools.31 MRT 2023
- Zero-day campaign targeting Android and iOS: Google's security team says it discovered a threat actor using Android and iOS zero-day exploit chains to target users located in Italy, Malaysia, and Kazakhstan. The campaign took place last year and involved SMS messages containing links to websites hosting the exploits. Google didn't link the campaign to any specific threat actor.
- New Variston operations: Amnesty International and Google have identified a hacking campaign targeting UAE users. The attack consisted of SMS messages containing one-time temporary URLs. The links redirected users to malicious websites that hosted exploit chains for the Samsung Internet Browser. If successful, victims would be infected with Android spyware. Google's security team has linked both the exploits and the websites in this campaign to Heliconia, an exploit toolkit developed by Variston IT, a company from Barcelona, Spain. Google previously spotted the Heliconia framework last year, but this marks the first real-world case where the toolkit was used in the wild.
........

Definitieve conclusie

op grond van (beperkt) beschikbare gegevens en ontwikkelingen van actuele bedreigingen denk ik dat besmetting door malware van een Android -app naar alle waarschijnlijkheid de grootste kans is geweest. Die kan op verschillend manieren hebben plaatsgevonden (aanklikken link in mail / op het web / in een SMS-bericht. Vervolgens is daarop een vreemde malafide app met verborgen SMS gedownloaded) -> telefoon "gehacked" en SMS-en zijn verstuurd

bijv. Flubot malware op Android toestellen (track en trace sms) | KPN Community lijkt er wel op; zie meldingen (2021)

De kans op inbreuk via het bel / sms mechanisme buiten de apps om lijkt me niet tekunnen, tenzij... Hiervan ben ik verder ook niet op de hoogte.....

Update 31.05.2023