In Zuid-Korea is een phishingaanval op Android-gebruikers ontdekt waar wordt geprobeerd een kwaadaardige app te installeren, die vervolgens apps om mobiel te bankieren verwijdert. Slachtoffers ontvingen een sms-bericht dat zogenaamd van de Financial Services Commission afkomstig zou zijn. In het bericht werd opgeroepen om een virusscanner te installeren.

De afgekorte URL die was meegestuurd wees in werkelijkheid naar een kwaadaardige app, voorzien van het Google Play icoon. Als de malware wordt uitgevoerd, controleert het of de mobiel bankieren apps van verschillende Zuid-Koreaanse banken aanwezig zijn. In het geval de apps worden aangetroffen, kijkt de app of de telefoon is geroot.

Op deze manier kan het de apps stiekem verwijderen. In het geval het toestel niet is geroot, vraagt de malware aan de gebruiker om de legitieme bankieren-app te verwijderen. Die wordt hierna vervangen door een andere app, wat uiteindelijk dezelfde malware is.

Datadief
Eenmaal actief vraagt de malware om gegevens voor mobiel bankieren, zoals social security nummer, rekeningnummer, accountwachtwoord, user ID, internetbankieren ID, registratienummer en wachtwoord. Ook kan de malware om certificaatwachtwoord vragen, dat sommige banken als auhenticatie gebruiken, zo meldt anti-virusbedrijf McAfee.

Alle informatie wordt vervolgens over HTTP samen met het telefoonnummer van het besmette toestel naar een remote server gestuurd. Naast het onderscheppen van gegevens kan de malware ook inkomende en uitgaande gesprekken beeindigen, sms-berichten onderscheppen en sms-berichten naar dure telefoonnummers sturen.