Banking-trojan voor Android-platform blijkt ook sms'jes te onderscheppen

Malware wordt steeds slimmer. De KorBanker Trojan is malware voor het mobiele besturingssysteem Android dat bankgegevens probeert te stelen van klanten van Zuid-Koreaanse banken. De malware blijkt echter ook op zoek te zijn naar sms-berichten waarin wachtwoorden en transactiescodes worden ingeleverd.

Hiervoor waarschuwt FireEye. Het beveiligingsbedrijf heeft toegang weten te krijgen tot de Command & Control-server achter KorBanker Trojan, de server waarmee de malware wordt aangestuurd. Op deze server ontdekte FireEye 10.000 sms-berichten die door de malware zijn onderschept. De berichten zijn afkomstig van 3.500 gebruikers en over een periode van 55 dagen verstuurd.

Wachtwoorden en TAN-codes

De cybercriminelen achter KorBanker Trojan blijken hun activiteiten dus te hebben uitgebreid van het stelen van uitsluitend bankgegevens naar het onderschepper van andere informatie die zij kunnen gebruiken om fraude te plegen. Allerlei informatie wordt immers via sms aangeleverd. Denk hierbij aan wachtwoorden die gebruikers zijn vergeten, maar ook aan TAN-codes of codes voor twee-factor-authentificatie.

Het beveiligingsbedrijf heeft in de aangetroffen data op de Command & Control-server wachtwoorden van allerlei websites ontdekt. Denk hierbij aan sociale media zoals Facebook, maar ook aan inloggegevens voor Google en VPN's. Om de kans te vergroten dat cybercriminelen de onderschepte informatie daadwerkelijk kunnen gebruiken wordt een onderschept smsje automatisch verwijderd van de geïnfecteerde Android-smartphone, zodat de eigenaar het bericht niet te zien krijgt.

1.700 slachtoffers

KorBanker Trojan zou inmiddels ongeveer een jaar actief zijn. In deze periode zijn ongeveer 1.700 Android-gebruikers slachtoffer geworden van de malware.