Mobiel, Nieuws

Criminelen huren virtuele telefoons om de beveiliging van banken te omzeilen

door Pieter Arntz | maart 27, 2026
cloudtelefoon met een masker

Onderzoekers van Group-IB waarschuwen dat criminelen virtuele Android gebruiken om moderne beveiligingsoplossingen te omzeilen.

Cloudtelefoons zijn virtuele Android die de kenmerken van echte apparaten (model, hardware, IP-adres, tijdzone, sensorgegevens, gedrag) volledig kunnen nabootsen. Hierdoor kunnen ze de op apparaten gebaseerde fraudedetectie van banken omzeilen.

Oorspronkelijk bestonden telefoonparken uit fysieke apparaten en werden ze opgezet voor testdoeleinden. Hun aantal nam toe toen bedrijven ontdekten dat ze virtuele telefoons konden huren en zo de betrokkenheidscijfers – zoals het aantal volgers, likes, shares enzovoort – kunstmatig konden opkrikken. De verdere groei werd gestimuleerd door de overstap van fysieke telefoonparken naar cloudtelefoons.

Op een gegeven moment ontdekten cybercriminelen hoe ze deze „huurtelefoons“ konden gebruiken om mensen ertoe te verleiden toegang te verlenen tot hun bankrekeningen en cryptowallets, die vervolgens werden leeggehaald.

Banken hadden deze tactieken door en begonnen mobiele apps te ontwikkelen die gebruikmaken van apparaat-fingerprinting. Hierdoor konden ze valse apparaten opsporen en blokkeren die de accounts van mensen overnamen.

Maar zoals bij elke wapenwedloop hebben criminelen ook hier een manier gevonden om dit te omzeilen. Ze ‘warmen’ apparaten nu ‘voor’ door bankapps te installeren, inloggegevens te registreren en kleine transacties uit te voeren, zodat rekeningen en apparaatgegevens eruitzien alsof ze weinig risico inhouden.

De onderzoekers merken op dat:

“Ze zijn overgestapt op cloudtelefoons: Android op afstand worden bediend en in datacenters draaien. In alle opzichten zijn dit echte telefoons, met originele firmware, die zich op natuurlijke wijze gedragen en een geldige hardwareverificatie bieden.”

En voor de criminelen is het geen grote investering. Grote platforms voor cloudtelefonie bieden apparaten te huur aan voor slechts $ 0,10 tot $ 0,50 per uur, waardoor de infrastructuur voor fraude voor bijna iedereen toegankelijk is.

Een van de toepassingen van deze apparaten is in mobiele games met een economie waarin met echt geld wordt gehandeld. Deze games kampen al geruime tijd met een specifiek probleem: het automatisch verzamelen van in-game valuta en grondstoffen door bots. In veel gevallen kunnen geautomatiseerde accounts in-game items genereren die in de echte wereld waarde hebben.

Banken worden geconfronteerd met een ander probleem: aanvallen waarbij rekeningen worden overgenomen (ATO). Toen het bankieren zich verplaatste van webbrowsers naar mobiele apps, hadden ze behoefte aan betrouwbaardere en uitgebreidere manieren om vertrouwde apparaten te identificeren. Veel banken koppelen rekeningen nu aan specifieke apparaten en markeren overschrijvingen die niet vanaf dat apparaat afkomstig zijn.

Het begin van een aanval is nog steeds social engineering. Criminelen proberen gebruikers te misleiden om eenmalige wachtwoorden (OTP’s) te delen, een aanmelding goed te keuren of een overschrijving te doen „naar een veilige rekening“.

Achter de schermen logt de crimineel in op een cloudtelefoon die voor de bank al lijkt op het apparaat van het slachtoffer, dankzij overeenkomende of aannemelijke vingerafdrukken en vooraf ingesteld gedrag.

Zodra de criminelen toegang hebben gekregen, voeren ze geautoriseerde pushbetalingen (APP) uit (vaak naar rekeningen van geldkoeriers ), die door de banksystemen mogelijk als laagrisico worden aangemerkt omdat er op het eerste gezicht niets mis lijkt te zijn met het apparaat.

Op dat moment kunnen de criminelen beginnen met het leeghalen van je rekening of de virtuele telefoons aan andere criminelen verkopen. Volgens de onderzoekers:

“Op darknet-marktplaatsen wordt actief gehandeld in vooraf geverifieerde dropper-accounts die op cloudtelefoons zijn aangemaakt; Revolut- en Wise-accounts kosten elk tussen de 50 en 200 dollar, waarbij vaak ook blijvende toegang tot de cloudtelefoon is inbegrepen.”

Hoe blijf ik veilig

De onderzoekers van Group-IB adviseren eindgebruikers om:

  • Voer accountverificatieprocedures nooit uit op aanwijzing van derden. Houd er rekening mee dat banken en overheidsinstanties klanten nooit zullen vragen om hun account te verifiëren via onbekende apps of op afstand.
  • Schakel beveiligingsfuncties op het apparaat in. Gebruik officiële apps voor mobiel bankieren, biometrische authenticatie en strenge beveiligingsinstellingen op apparaatniveau.
  • Wees op uw hoede voor plannen voor „snel geld“ waarbij bankrekeningen betrokken zijn. Denk bijvoorbeeld aan valse vacatures waarin u wordt gevraagd bankrekeningen te „verifiëren“, overheidsfunctionarissen die om rekeningverificatie vragen, of bankmedewerkers die u vragen geld over te maken naar „veilige“ rekeningen.
  • Als u vermoedt dat u het doelwit bent geworden, neem dan onmiddellijk contact op met uw bank. Wijzig uw wachtwoorden en schakel tweefactorauthenticatie in voor al uw accounts.

We willen hieraan toevoegen:

  • Schakel waar mogelijk meldingen in voor aanmeldingen, wijzigingen in begunstigden en transacties, zodat u ongewone activiteiten direct opmerkt.
  • Gebruik een up-to-date, realtime anti-malwareoplossing voor je Android om programma’s die gegevens stelen op te sporen en te stoppen.
  • Als je twijfelt over een bericht, raadpleeg dan Malwarebytes Guard. Dit helpt je te achterhalen of het om oplichting gaat en geeft je advies over wat je moet doen.

We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
Een met een trojan geïnfecteerde versie van Avast verspreidt de Venom Stealer

Valse Avast-website simuleert een virusscan en installeert in plaats daarvan Venom Stealer

Maart 27, 2026

Een valse Avast-scan meldt dat je pc is geïnfecteerd en installeert vervolgens malware die wachtwoorden, sessiegegevens en crypto-wallets steelt.

Nieuws
Apple-logo op een achtergrond met kettingen

Infiniti Stealer: een nieuwe infostealer voor macOS die gebruikmaakt van ClickFix en Python/Nuitka

Maart 26, 2026

Een nieuwe infostealer voor macOS, NukeChain (nu Infiniti Stealer), maakt gebruik van valse CAPTCHA-pagina’s om gebruikers ertoe te verleiden kwaadaardige opdrachten uit te voeren.

Nieuws
GlassWorm geïdentificeerd

De GlassWorm-aanval installeert extensie valse extensie bewakingsdoeleinden

Maart 26, 2026

Het verstopt zich in de ontwikkelaarstools, houdt vervolgens de activiteiten in de gaten en steelt gegevens, waardoor een enkele infectie uitgroeit tot een groter risico voor de hele toeleveringsketen.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting