In de Google Play Store zijn twee malafide apps aangetroffen die hun kwaadaardige code alleen uitvoeren als de gebruiker en zijn telefoon in beweging komen. Op deze manier proberen de ontwikkelaars detectie door onderzoekers te voorkomen, zo meldt anti-virusbedrijf Trend Micro.

De twee apps hebben de naam Currency Converter en BatterySaverMobi. De laatstgenoemde app claimt de levensduur van de batterij te verlengen. Meer dan 5.000 mensen installeerden de app. De apps beschikken echter over kwaadaardige code die bankmalware op het systeem probeert te installeren.

Om malware te detecteren maken beveiligingsbedrijven en onderzoekers gebruik van sandboxes. Op deze manier raakt het onderliggende systeem niet besmet. De makers van de malafide Android-apps gaan er vanuit dat deze sandboxes niet over bewegingsgegevens beschikken. Als een echte gebruiker namelijk beweegt zal de telefoon via de sensoren bewegingsgegevens genereren. Een systeem dat niet over deze sensoren beschikt genereert geen bewegingsdata en is mogelijk een sandbox. Wanneer de malafide apps zien dat de gebruiker en de telefoon niet bewegen wordt de kwaadaardige code niet uitgevoerd.

Wanneer de apps de sensorgegevens wel ontvangen vragen ze de gebruiker om een "systeemupdate" te installeren. Het gaat in werkelijkheid om bankmalware die Anubis wordt genoemd. Om de communicatie met de server die de bankmalware bevat te verbergen wordt er gebruik gemaakt van Telegram en Twitter. Eenmaal actief fungeert de malware als keylogger die inloggegevens voor mobiel bankieren steelt. Ook kan de malware een screenshot van het scherm maken om zo de inloggegeven te achterhalen.

De bankmalware is in 93 verschillende landen aangetroffen en kan gebruikers van 377 bank-apps aanvallen. Verder is de malware in staat om contactgegevens en locatiegegevens door te geven, audio op te nemen, sms-berichten te versturen, telefoongesprekken te starten en de externe opslag aan te passen. Na te zijn ingelicht heeft Google de malafide apps uit de Play Store verwijderd.