Onderzoekers hebben nieuwe Android-malware ontdekt die zich voordoet als een applicatie van een bank, maar in werkelijkheid juist de bankrekening als doelwit heeft. In het verleden zijn verschillende Trojaanse paarden ontdekt die mobiele TAN-codes onderschepten, maar de eerste aanval verliep hierbij altijd via de computer van het slachtoffer. Bij deze nieuwe malware is dat niet meer nodig. Daarnaast kunnen de aanvallers de besmette smartphone op afstand besturen.

Verschillende grote banken zijn het doelwit van de malware, die zich als een token generator applicatie voordoet. Om het valse token te krijgen moet de gebruiker de eerste factor van de authenticatie invoeren die hij normaal bij de bank zou gebruiken. Dat wordt gebruikt om toegang tot de bankrekening te krijgen. Doet de gebruiker dit niet, dan krijgt hij een foutmelding. Laat de gebruiker wel een token via de valse applicatie genereren, dan verschijnt er een willekeurig nummer.

Mobiel bankieren
Onzichtbaar voor de gebruiker wordt ondertussen het eerder ingevoerde wachtwoord, alsmede de identificatienummers van het toestel (IMEI en IMSI) naar een bepaald mobiel nummer gestuurd. Dezelfde informatie wordt ook naar één van de command & control servers gestuurd. Verder filtert de malware inkomende sms-berichten, en worden berichten met mobiele TAN-codes naar een bepaalde mobiel nummer doorgestuurd.

Naast het stelen van mobiele TAN-codes en het wachtwoord om op de rekening in te loggen, steelt de malware ook de contactlijst. Verder wordt geprobeerd de gebruiker aanvullende malware te laten installeren.

"Android-malware die banken aanvalt is een continue evolutie. Van man-in-the-middle aanvallen zien we nu meer geraffineerde, op afstand bestuurde banking Trojans, die meer dan één factor van authenticatie kunnen krijgen en zichzelf kunnen updaten om bankfraude te plegen", zegt Carlos Castillo van McAfee. "Vanwege de populariteit van Android en mobiel bankieren applicaties, verwachten we dat er meer soortgelijke dreigingen zullen verschijnen."