De worm, zo waarschuwde ING maandag, leidt gebruikers van een besmette iPhone die Mijn ING bezoeken, ongemerkt en automatisch naar een nagemaakte ING-inlogpagina. Daar vissen de kwaadwillenden naar de inloggegevens.

XS4ALL liet Security.nl vrijdag weten dat het door ongebruikelijk netwerkverkeer een iPhone-worm had gesignaleerd. Zondag bleek dat de worm het geumt heeft op ING-rekeninghouders.

Op zoek naar sms-berichten met TAN-codes

Wat de worm volgens Security.nl ook doet - en wat ING zelf niet meldt - is dat de worm ook in de iPhone op zoek gaat naar sms-berichten met TAN-codes. Pas met de gephiste inloggegevens plús een TAN-code kan een kwaadwillende een transactie voltooien.

De worm verspreidt zich van telefoon naar telefoon. Een besmette iPhone zoekt naar andere iPhones die gejailbreakt zijn. De worm kan ook als botnet ingezet worden. De gestolen gegevens worden iPhone naar een server in Litouwen gestuurd.

Kleine doelgroep

Overigens bereikt de worm maar een zeer kleine doelgroep. Alleen ING-klanten die via mobiel internetbankieren, een gejailbreakte iPhone hebben en de applicatie OpenSSH hebben geïnstalleerd en het standaard wachtwoorden (alpine) gebruiken, lopen gevaar. OpenSSH geeft externe computers (of kwaadwillenden) toegang tot de bestandsstructuur (root) van de gejailbreakte iPhones.

Via OpenSSH werd een paar weken geleden ook al een Rick Astley-worm verspreid. Besmette gebruikers werd een achtergrondplaatje van de jaren '80-zanger opgedrongen. Voor zover bekend is die worm nooit gebruikt voor kwaadaardige doeleinden.