In F-Secure's nieuwe kwartaalrapport over mobiele dreigingen (PDF) wordt uitgebreid stilgestaan bij de evolutie van Android malware. Mobiele bankingtrojans zijn aan een opmars bezig en worden vaker uitgeleverd als malware-as-a-service door cybercriminelen die botnets verhuren.

“Het ecosysteem van Android-malware begint steeds meer te lijken op het malwaresysteem voor Windows waarbij gespecialiseerde leveranciers commerciële malwarediensten leveren”, schrijft F-Secure.

Tweefactor-authenticatie omzeild

Via opgetuigde bankportals wordt de mobiele Zeus-trojan (Zitmo) naar mobieltjes verspreid. ‘Klanten’ wordt om hun telefoonnummer gevraagd, waarna ze een sms’je krijgen met de downloadlink. De APK wordt dan geïnstalleerd, als gebruikers tenminste in hun smartphone hebben aangegeven dat ze ook applicaties buiten Google Play om vertrouwen.

De malware doet zich vervolgens voor als bank-app die een TAN-transactie verricht. In werkelijkheid worden TAN-codes onderschept en doorgestuurd naar een ander nummer. Mobiele bankingtrojans om tweefactor-authenticatie te omzeilen zijn niet nieuw, want in het verleden werd deze geavanceerde truc gebruikt door high-end botnetbeheerders die daar speciaal modules voor lieten maken.

Maar dit soort trojans zijn inmiddels niet alleen meer voor de elite, maar de huis-tuin-en-keuken-botnetherder maakt nu ook gebruik van dit soort modules met mobiele malware. De slimme Zitmo-trojan is ontdekt in Rusland, maar F-Secure wijst erop dat ook banken in Italie, Australië en Thailand al op de korrel worden genomen. De malware vermomt zich als authentiek ogende apps van de betreffende banken.

Mobiele malware werkt met pc

Dell ontdekte vorige maand dat spammende botnets naast Windows-computers ook Android-systemen op de korrel nemen. Malware die wordt verspreid via geïnfecteerde computers bevat een module die ervoor zorgt dat als het e-mailtje op een mobiel apparaat wordt gelezen, mensen wordt geadviseerd een Flash-update te installeren. De APK waar dan naar wordt gelinkt is een trojan.

Dit is volgens het rapport nog een voorbeeld van vercommercialisering van malwaremodules voor Android. Beveiligingsexpert Sean Sullivan van F-Secure noemt de opkomst van deze Android-malware-as-a-service tegenover securityblog Dark Reading een “mogelijke game-changer”.