https://pepelac.news/nl/posts/id20908-android-banktrojan-devixor-nieuwe-malware-met-ransomware

Android-banktrojan deVixor: nieuwe malware met ransomware

deVixor: banktrojan voor Android met ransomware en datadiefstal

Android-banktrojan deVixor: nieuwe malware met ransomware

Ontdek hoe de Android-banktrojan deVixor via nepwebsites en APK's bankgegevens steelt en met ransomware toestellen vergrendelt. Tips om jezelf te beschermen.

2026-01-14T10:26:04+03:00

Onderzoekers op het gebied van cybersecurity waarschuwen voor een nieuwe, gevaarlijke dreiging voor Android-gebruikers: de banktrojan deVixor. Deze malware haalt niet alleen geld van de rekeningen van slachtoffers, maar zet ook ransomware-tactieken in.Specialisten hebben meer dan 700 varianten opgespoord; aanvallen lopen door sinds oktober 2025. deVixor verspreidt zich via nagemaakte websites die zich voordoen als pagina’s van bekende automerken met lokkende koopjes. Bezoekers krijgen het verzoek een APK te downloaden, gepresenteerd als een app om een bestelling te plaatsen of extra informatie te krijgen—een aas dat bewust praktisch en onschuldig oogt. Het is een aanpak die handig meeliftt op alledaags winkelgedrag en daardoor weinig argwaan wekt.Na installatie nestelt de trojan zich geruisloos en gaat aan de slag, met een besturingsstructuur via Telegram. Ook communiceert hij met Firebase-servers om opdrachten te ontvangen en buitgemaakte data door te sturen; die combinatie, leunend op vertrouwde platforms, maakt opsporing en verstoring merkbaar lastiger.Het hoofddoel is financieel gewin. De malware scant sms-berichten op het geïnfecteerde toestel op bankmeldingen en eenmalige codes, en oogst kaartnummers en saldi. Daarnaast misbruiken de aanvallers WebView en JavaScript-injecties om overtuigende nepbankpagina’s te tonen, waar slachtoffers argeloos hun inloggegevens invullen.Het meest ontregelende is de ingebouwde afpersmodule. Op commando kunnen de bedieners het scherm vergrendelen en een eis tonen voor een cryptobetaling in TRON van 50 TRX naar een opgegeven adres. De telefoon blijft onbruikbaar totdat aan die eis is voldaan, waardoor datadiefstal verandert in een volledige afpersing.De opkomst van deVixor laat zien hoe cybercriminelen hun gereedschap blijven verfijnen, met flexibelere en gevaarlijkere aanvalsmethoden tot gevolg. Experts raden Android-gebruikers aan kritisch te kijken naar de herkomst van apps en geen APK-bestanden te installeren van niet-geverifieerde sites, zeker wanneer een aanbod net iets te mooi lijkt om waar te zijn. Juist die belofte van een buitenkansje is vaak de hefboom waarop dit soort campagnes draait.

Android, banktrojan, deVixor, malware, ransomware, APK, nepwebsites, bankgegevens, WebView, JavaScript-injectie, Telegram, Firebase, TRON, 2FA-codes, phishing, Android-beveiliging

2026

Danny Weber

news

deVixor: banktrojan voor Android met ransomware en datadiefstal

Ontdek hoe de Android-banktrojan deVixor via nepwebsites en APK's bankgegevens steelt en met ransomware toestellen vergrendelt. Tips om jezelf te beschermen.

Danny Weber, Editor

10:26 14-01-2026

Specialisten hebben meer dan 700 varianten opgespoord; aanvallen lopen door sinds oktober 2025. deVixor verspreidt zich via nagemaakte websites die zich voordoen als pagina’s van bekende automerken met lokkende koopjes. Bezoekers krijgen het verzoek een APK te downloaden, gepresenteerd als een app om een bestelling te plaatsen of extra informatie te krijgen—een aas dat bewust praktisch en onschuldig oogt. Het is een aanpak die handig meeliftt op alledaags winkelgedrag en daardoor weinig argwaan wekt.

Na installatie nestelt de trojan zich geruisloos en gaat aan de slag, met een besturingsstructuur via Telegram. Ook communiceert hij met Firebase-servers om opdrachten te ontvangen en buitgemaakte data door te sturen; die combinatie, leunend op vertrouwde platforms, maakt opsporing en verstoring merkbaar lastiger.

Het hoofddoel is financieel gewin. De malware scant sms-berichten op het geïnfecteerde toestel op bankmeldingen en eenmalige codes, en oogst kaartnummers en saldi. Daarnaast misbruiken de aanvallers WebView en JavaScript-injecties om overtuigende nepbankpagina’s te tonen, waar slachtoffers argeloos hun inloggegevens invullen.

Het meest ontregelende is de ingebouwde afpersmodule. Op commando kunnen de bedieners het scherm vergrendelen en een eis tonen voor een cryptobetaling in TRON van 50 TRX naar een opgegeven adres. De telefoon blijft onbruikbaar totdat aan die eis is voldaan, waardoor datadiefstal verandert in een volledige afpersing.

De opkomst van deVixor laat zien hoe cybercriminelen hun gereedschap blijven verfijnen, met flexibelere en gevaarlijkere aanvalsmethoden tot gevolg. Experts raden Android-gebruikers aan kritisch te kijken naar de herkomst van apps en geen APK-bestanden te installeren van niet-geverifieerde sites, zeker wanneer een aanbod net iets te mooi lijkt om waar te zijn. Juist die belofte van een buitenkansje is vaak de hefboom waarop dit soort campagnes draait.