De Trojan waarmee deze app gegevens van een Android-smartphone kan stelen, is in juni al ontdekt. Nu is de methode voor het eerst toegepast in een app, meldt beveiligingsbedrijf F-secure. Die app is waarschijnlijk gekloond van een legitieme app, vertelt F-Secure nog aan Webwereld.

De aanvankelijk onschuldige app (genaamd Financial Accounting) valt te downloaden uit een andere appstore dan de officiële Android Market van Google. Direct na installatie van de app krijgt de gebruiker een updatevoorstel. Als hij of zij dat accepteert, haalt de app de Trojan DroidKungFu binnen en ontpopt het zich tot spyware.

Data stelen, root-exploit

Het stuurt dan verschillende gegevens uit de smartphone door, waaronder het telefoonnummer en data op de geheugenkaart. Ook sms- en mms-berichten zijn hiermee te stelen, waarschuwt F-Secure.

Verder gebruikt de Trojan een exploit om root-toegang te krijgen tot het Android-toestel. Daarmee kan het meer kwaad uitvoeren. De app crasht bij tests door F-Secure, "waarschijnlijk door een fout aangezien deze variant van DroidKungFu nog een exploit gebruikt voor Android OS versie 2.2, en de geteste telefoon gebruikt Android OS versie 2.3", blogt de ontdekker.

Niet gedetecteerd

De app heeft na de update veel van de eigenschappen van het originele DroidKungFu. Die spyware doet een graai in de diverse gegevens van de telefoon waarop het is geïnstalleerd. Dat uitlezen gebeurt via een aantal stappen. De malafide app haalt naast het telefoonnummer ook gegevens binnen over de mobiele provider van het toestel en de netwerkverbinding van de telefoon.

In juni stelden onderzoekers van de North Carolina State University al vast dat DroidKungFu een nieuwe geavanceerde methode is om gegevens te stelen. De Trojan weet namelijk uit het zicht te blijven van virusdetectiesoftware. De twee voornaamste mobiele securitypakketten zijn niet aangeslagen bij DroidKungFu-tests toen.

Update: Naam van de app (Financial Accounting) toegevoegd. Plus de inschatting van F-Secure dat het waarschijnlijk een kloon is van een legitieme app, waarbij de kloon dan voorzien is van een 'Trojan-loader'.