Wederom is er een kwaadaardige Android-app ontdekt die zich voordoet als beveiligingscertificaat, maar in werkelijkheid sms-berichten en mobiele TANcodes steelt. Door het stelen van mobiele TANcodes kunnen cybercriminelen de twee-factor authenticatie omzeilen die steeds meer banken toepassen. De nu ontdekte Android-malware is onderdeel van de Pincer malware-familie.
Zodra een gebruiker de app installeert krijgt hij een bericht dat het certificaat succesvol is geïnstalleerd en het toestel beschermd is. Eenmaal actief maakt de malware verbinding met een remote server een stuurt allerlei gegevens over het toestel door, zoals serienummer, IMEI, telecomaanbieder, telefoonnummer, taal, besturingssysteem en aanwezigheid van een rootaccount.
Vervolgens wordt er op aanvullende opdrachten gewacht, zoals het onderscheppen van sms-berichten van een bepaald telefoonnummer, het tonen van een bericht op het scherm of het wijzigen van het adres van de Command & Control-server waarmee de telefoon wordt bestuurd.
Verspreiding
De malware werd een aantal dagen geleden door het Russische anti-virusbedrijf Dr. Web ontdekt, maar de virusbestrijder laat niet weten waar de app werd aangetroffen of hoe die wordt verspreid. In veel gevallen moeten slachtoffers van een besmette computer hun telefoonnummer invoeren, waarna er een sms wordt gestuurd met een linkje naar het 'certificaat'.
Er zijn echter ook gevallen bekend van phishingmails waarbij er naar een valse certificaat-app op Google Play werd gelinkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.