Een Trojaans paard voor het Android-besturingssysteem steelt inloggegevens voor mobiel bankieren via een phishingaanval. De aanval richt zich op klanten van een grote Russische bank. Zodra deze gebruikers de mobiel bankieren app van de bank starten, laadt de Trojan een phishingvenster.

Dit phishingvenster probeert de inloggegevens te stelen waarmee de gebruiker op mobiel bankieren inlogt. De ingevoerde data wordt vervolgens naar de criminelen achter de malware gestuurd. Dezelfde truc hanteert de malware voor het stelen van de creditcardgegevens van de gebruiker. De Trojan controleert of Google Play actief is. Is dit het geval, dan toont de Trojan een venster boven het Google Play-venster, dat de gebruiker vraagt om zijn creditcardgegevens in te vullen.

Installatie

Sinds de Trojan drie maanden geleden voor het eerst werd opgemerkt, zijn er 50 varianten ontdekt. Het Russische anti-virusbedrijf Kaspersky Lab meldt dat het 900 installaties van de malware blokkeerde. Het Trojaanse paard verspreidt zich via sms-berichten, waarbij gebruikers worden verleid om de kwaadaardige APK zelf te installeren.

Op dit moment richt de malware zich alleen op Russische banken. Analist Roman Unuchek waarschuwt dat cybercriminelen hun technologie vaak eerst op Russische gebruikers uitproberen, voordat ze gebruikers in andere landen aanvallen.