Onderzoekers hebben in Google Play bankmalware ontdekt die een nieuwe aanvalsvector gebruikt om onder de radar te blijven en toestellen te infecteren. De meeste bankmalware voor Android wordt buiten Google Play om verspreid. In januari ontdekten onderzoekers van beveiligingsbedrijf Securify echter een campagne met Android-bankmalware in Google Play.
De malware viel op doordat die in tegenstelling tot andere bankmalware weinig permissies vroeg en een nieuwe aanvalsvector gebruikte om het toestel te infecteren. Namelijk een dropper die de uiteindelijke malware installeert. De meeste bankmalware vraagt permissie om bijvoorbeeld sms-berichten te lezen en te versturen en overlayvensters te tonen. De bankmalware in kwestie vroeg daar niet om, maar wilde wel toegang tot de sd-kaart en internet.
Het gebruik van een dropper om de uiteindelijke lading te installeren zorgde ervoor dat zowel de controles van Google Bouncer en detectie door anti-virussoftware werden omzeild. Geen enkele virusscanner op VirusTotal detecteerde de kwaadaardige app. Eenmaal actief op een toestel controleert de dropper of de gebruiker het installeren van software van onbekende bronnen heeft ingesteld.
Is dit het geval, dan wordt de echte malware op de sd-kaart geïnstalleerd en krijgt de gebruiker het installatievenster te zien. In het geval de installatie van apps uit onbekende bronnen niet staat ingeschakeld vraagt de malware om dit in te schakelen. Als de gebruiker dit weigert blijft de malware inactief en probeert het opnieuw bij een herstart van de telefoon.
De malware-dropper zit in verschillende "grappige" apps verborgen, namelijk "Funny Short Videos", "Real Funny Videos", "Daily Funny" en "Funny Videos" en drie apps genaamd "News Online", "loader" en "2048". Om de malware te verspreiden maakten de aanvallers onder andere een Facebookpagina aan, waar gebruikers naar één van de kwaadaardige apps werden gewezen.
Volgens de onderzoekers heeft de malware het op 420 mobiel bankieren-apps voor Android voorzien, waaronder ook Nederlandse banken. Daarbij wordt geprobeerd om via een overlayvenster boven de echte bank-app gegevens te stelen. Aan de hand van één van de botnetservers die de malware gebruikt blijkt dat zo'n 5500 toestellen met de malware besmet zijn geraakt, waaronder 230 toestellen in Nederland. Verder werden er op deze ene server 276 gestolen inloggegevens voor mobiel bankieren aangetroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.