Nederlandse consumenten zijn al maanden het doelwit van een Trojaans paard dat geld van online bankrekeningen probeert te stelen, onder andere door het infecteren van de smartphone die mobiele TANcodes ontvangt. Het gaat om de Qadars banking Trojan, voor het eerst ontdekt in mei.

75% van de computers die deze Trojan infecteerde bevindt zich volgens anti-virusbedrijf ESET in Nederland. Naast Nederland zijn er besmettingen in Frankrijk, Italië, Canada, India en Australië waargenomen. ESET noemt Qadars opmerkelijk, omdat het na zes maanden nog steeds zeer actief is en zich op specifieke regio's in de wereld richt. Zo waren Nederlandse internetbankierders gedurende de gehele monitoringsperiode het doelwit.

Daarnaast gebruikt het de Android Perkele-malware om twee-factor authenticatiesystemen van de banken te omzeilen. De malware bestaat al sinds mei, maar de eerste echte campagne vond eind juni plaats. Er verschijnen ook steeds nieuwe versies van de banking Trojan. De eerste versie had als serienummer 1.0.0.0, inmiddels is versie 1.0.2.7 verschenen.

Qadars werkt hetzelfde als de beruchte Zeus banking Trojan, waarvan een deel van de code door Qadars is geleend. De malware plaatst zich in de browser, tussen het slachtoffer en de bank. Vervolgens wordt er allerlei content op de bankpagina geïnjecteerd, ook 'webinjects' genoemd, die bedoeld zijn om allerlei gegevens te onderscheppen of aan te passen.

Android

Sommige van deze 'webinjects' vragen om extra informatie als de gebruiker wil inloggen, terwijl andere webinjects complexer zijn en automatisch transacties kunnen uitvoeren, waarbij de twee-factor authenticatie van de banken wordt omzeild. Hiervoor moet de malware een sms-bericht met een mobiele TANcode onderscheppen. De malware doet dit door de bankpagina die lokaal op de computer verschijnt aan te passen en van een bericht te voorzien dat de gebruiker oproept om een 'security-app' te installeren.

Dit is de Android Perkele-malware, die na installatie op de smartphone alle inkomende sms-berichten onderschept en doorstuurt, waaronder de mobiele TANcode, waardoor de criminelen de frauduleuze transactie kunnen afronden. Naast Android ondersteunt Perkele ook BlackBerry en Symbian, maar in het geval van Qadars wordt alleen het Android-component gebruikt.

Browser

Vooralsnog kan de malware zich alleen in Internet Explorer en Firefox injecteren, hoewel er ook aanwijzingen zijn dat er een versie voor Google Chrome in ontwikkeling is. Hoe de malware zich van mei tot en met oktober verspreidde is onbekend. Er zijn echter aanwijzingen dat Qadars door andere malware werd geïnstalleerd die de computer al had geïnfecteerd.

Vanaf november wordt de banking Trojan verspreidt via de Nuclear Exploitkit. Deze kit maakt misbruik van bekende beveiligingslekken in populaire software die niet door gebruikers zijn gepatcht. Wie zijn software up-to-date houdt kan infectie via de Nucleair Exploitkit voorkomen.