Er is een Trojaans paard voor Android-smartphones ontdekt, dat in eerste instantie onschuldig is, totdat genoeg gebruikers de applicatie hebben gedownload. Dan installeert de Trojan namelijk een kwaadaardig app op de smartphone. De malware wordt vooral op onofficiële marktplaatsen in Azië aangeboden, waar gebruikers geen toegang tot de officiële Android Marktplaats hebben.

De aanvallers plaatsen in dit geval een legitieme app op de marktplaats in kwestie en laten die een paar dagen staan. Zodra de app voldoende positieve reacties en het vertrouwen van gebruikers heeft gekregen, wordt een kwaadaardige service die in de applicatie verstopt zit, actief. Deze service, genaamd “GoogleServicesFrameworkService”, wordt ook tijdens het laden van de app gestart.

Wisseltruc
Wordt de getrojaniseerde service actief, dan maakt die verbinding met een Command & Control server en downloadt een kwaadaardig APK-bestand. Bij de installatie vraagt de app om tien verschillende privileges. "De meeste gebruikers zullen dit zonder na te denken accepteren, aangezien ze denken dat het een update van een al geinstalleerde applicatie is ", zegt Bogdan Botezatu van anti-virusbedrijf BitDefender.

Naast het eerst verwerven van positieve reacties, speelt ook mee dat opnieuw verpakte applicaties nauwelijks door mobiele virusscanners worden gedetecteerd, merkt Botezatu op.