De naam verwijst naar de bekende Zwitserse kaas. Beveiligingsbedrijf Trend Micro is namelijk van mening dat de beveiliging van het Android-besturingssysteem vol gaten zit. Cybercriminelen maken misbruik van de sessietokens die via SMS aan klanten van banken worden verzonden.

"Het gaat om een tweefactor authenticatiemethode die de telefoon van de gebruiker als extra kanaal inzet", legt onderzoeker David Sancho van Trend Micro uit. "Als je inlogt op een internetbankierssysteem, stuurt de bank gebruikers een SMS met een gegenereerd cijfer. Gebruikers moeten dat cijfer samen met hun gebruikersnaam en wachtwoord invoeren om bij de bank binnen te komen."

Namen banken niet vrijgegeven

Volgens het beveiligingsbedrijf gebruiken banken in Oostenrijk, Zweden, Japan en Zwitersland dit systeem, al is niet duidelijk bij welke banken de cybercriminelen afgelopen maanden hebben huisgehouden.

Door gebruik te maken van malware - verstuurd via e-mail - op pc's zijn cyberciminelen erin geslaagd de DNS-gegevens van gebruikers aan te passen om ze, als ze naar de site van hun bank surften, daar een vals SSL-certificaat op te laten halen en naar een valse inlogpagina te leiden. Daar werden Android-gebruikers vervolgens verzocht een malafide app op hun smartphone te installeren.

De app doet zich voor als legitieme codegenerator voor de bank, compleet met logo's, maar in realiteit wordt het SMS'je van de bank onderschept en komen cybercriminelen in bezit van een goedgekeurde inlog voor de internetbankieromgeving. "De criminelen hebben daardoor vrij spel met de bankaccounts van klanten", zegt Sancho.

Vinger wijst naar Rusland

De criminelen zijn nog niet gepakt, maar uit onderzoek (pdf) van Trend Micro blijkt dat de boeven waarschijnlijk uit Rusland komen, getuige het Russisch dat in de malwarecode wordt gebruikt. Ook werd een malafide proxyserver in Roemeni├ź ontdekt.