Onderzoekers hebben een campagne ontdekt waarbij criminelen Androidgebruikers opbellen en vragen om een app te installeren die in werkelijkheid bankmalware is en allerlei gegevens steelt. De recent ontdekte aanval is gericht tegen Italiaanse bankklanten, maar de verantwoordelijke criminelen maken hierbij ook gebruik van Nederlandse katvangers, zo meldt securitybedrijf Cleafy.

De aanval begint met een sms-bericht dat van de bank afkomstig lijkt en een link naar een website bevat. In het bericht wordt de gebruiker gevraagd een anti-spam-app te downloaden die via de gelinkte website verkrijgbaar is. Daarnaast staat er vermeld dat de klant zal worden gebeld door een bankmedewerker. Zodra de gebruiker de app downloadt wordt hij gebeld door iemand die zich voordoet als bankmedewerker en de klant vraagt om de app te installeren. De app wordt namelijk buiten de Google Play Store aangeboden en standaard blokkeert Android het installeren van apps uit onbekende bronnen.

Gebruikers moeten het installeren van onbekende apps dan ook insschakelen. Daarnaast vraagt de malafide app tijdens de installatie om verschillende permissies waarmee de aanvallers frauduleuze activiteiten kunnen uitvoeren. Vermoedelijk begeleidt de "bankmedewerker" slachtoffers tijdens het installatieproces. Eenmaal geïnstalleerd hebben de aanvallers via de malafide app volledige controle over het toestel. Zo kunnen de aanvallers via sms verstuurde codes van de bank onderscheppen en frauduleuze transacties uitvoeren.

Naast het onderscheppen van sms-berichten en codes kan de malware ook schermopnames maken, Google Play Protect uitschakelen om niet door Google als verdachte app te worden aangemerkt, phishingpagina's tonen en zichzelf verwijderen om detectie te voorkomen. Bij de frauduleuze transacties maken de criminelen ook gebruik van bankrekeningen van Nederlandse katvangers, aldus het securitybedrijf. Bijna dertien procent van de gebruikte bankrekeningen is van een Nederlandse bank.