De malware is ontdekt in legitieme applicaties. Het richt zijn pijlen op het Android-platform. De malware, die de naam ‘Geinimi’ heeft gekregen, is zowel in gratis als betaalde apps ontdekt en komt van websites die de apps aanbieden. De apps zijn echter gemodificeerd door de malware te injecteren.

Chinezen het doelwit

Het bedrijf Lookout Mobile Security heeft een waarschuwing uitgegeven over Geinimi. Het hoofd van technologie aldaar, Kevin Mahaffey, beweert dat het de eerste malware is met botnetfuncties die gericht is op het Android- platform.

Vooralsnog zijn Chinese Android gebruikers het doelwit van de hackers. Lookout kreeg een tip van een gebruiker over de Geinimi malware, waarna het alarmbellen gingen rinkelen. De ontwikkelaars van de misbruikte apps zijn op de hoogte gesteld door het beveiligingsbedrijf. De besmette apps lijken echter al duizenden keren gedownload te zijn van de verdachte websites.

Zombies

Lookout is nog altijd aan het onderzoeken wat het idee achter Geinimi is, maar vooralsnog is het onduidelijk wat het doel is van de malware-auteurs. Er zijn wel enige features die de beveiligers bezorgd maken. Zo communiceert de malware met een centrale command-and-control server, zoals zombie-computers dat in een botnet doen.

Deze server kan directe commando’s naar een telefoon sturen, zoals het downloaden of de-installeren van software. De gebruiker moet deze commando’s nog wel goedkeuren, maar Mahaffey vindt dat alleen al zorgwekkend. “Het kan wellicht gebruikt worden om andere malafide software te installeren”, zegt hij.

Verder verstuurt Geinimi elke vijf minuten de locatie van het Android apparaat en andere hardware identificatie zoals het IMEI-nummer en SIM-kaart informatie naar een remote server. Het kan ook een lijst van applicaties verzenden die op het Android-toestel staan. De malware kan verbinding leggen met maximaal tien domeinnamen die gebruikt worden om de informatie naar de server te uploaden.

Volgens Mahaffey zijn het de functies van het verbinden met meerdere domeinen en het krijgen van instructies van een command-and-control server die het bedrijf Lookout ertoe zetten om botnet functionaliteit toe te schrijven aan Geinimi.

Toch heeft Geinimi nog geen duidelijk doel volgens het beveiligingsbedrijf. “Het kan alles zijn, van een erg opdringerig advertentienetwerk tot een volwaardige poging om een botnet te creëren”, zegt Mahaffey.