Dat schrijft beveiligingsexpert Brian Krebs na eigen onderzoek. De malwaremaker in het voorbeeld van Krebs koopt accounts van Android-ontwikkelaars voor het viervoudige van het oorspronkelijke aankoopbedrag. Vervolgens verspreiden ze bankmalware met behulp van de legitieme apps die bij deze accounts horen, met als einddoel het plunderen van bankrekeningen.

Lijst van doelwitten

De onderzoeker ontdekte de methode op een internetforum waar gehandeld wordt in malware. Daar kocht de malwaremaker in kwestie actief geverifieerde ontwikkelaarsaccounts op van Google Play voor 100 dollar per stuk. Google vraagt ontwikkelaars 25 dollar voor het verkopen van hun apps via Google Play. Daarbij worden de accounts gecontroleerd en gekoppeld aan een specifiek domein.

De als veilig beschouwde accounts dienen als kruiwagen voor geavanceerde malware. Krebs kwam erachter dat de opkoper van Google Play-apps zich tegelijkertijd bezig houdt met de verkoop van Android SMS-malware gericht op banken. De lijst van doelwitten telt in totaal 66 financiële instituten waaronder de wereldwijd actieve banken ING, Citibank en HSBC. Allemaal banken die sms'jes gebruiken voor de meervoudige authenticatie bij het inloggen van gebruikers.

Combi met pc-malware

De mobiele malware werkt alleen in combinatie met pc-malware. Gebruikers vullen altijd eerst webformulieren in voordat de bank sms’jes ter verificatie verstuurt. De pc-malware zorgt ervoor dat in plaats daarvan de juiste Android-malware in werking treedt.

Via het onderscheppen van SMS-verkeer worden dan de TAN-codes bemachtigd en uiteindelijk bankrekeningen geplunderd. Krebs noemt in zijn onderzoek verschillende soorten gebruikte malware, waaronder de beruchte Zitmo-trojan (de mobiele variant van ZeuS) die in oktober 2010 voor het eerst opdook.