Een kwaadaardige Android app die zich als update voor het besturingssysteem voordoet blijkt in werkelijkheid sms-berichten en telefoongesprekken te onderscheppen, waardoor gebruikers niet meer door bepaalde telefoonnummers te bereiken zijn.

De app zou via "onbetrouwbare marktplaatsen" worden aangeboden, aldus beveiligingsbedrijf FireEye. Zodra de gebruiker de app installeert verschijnt er een app op het toestel genaamd 'android security'. De malware maakt verbinding met de Command & Control-server van de aanvallers en monitort inkomende sms-berichten en telefoongesprekken.

Telefoonnummers

De aanvallers kunnen via de server een lijst met specifieke telefoonnummers naar het besmette toestel sturen. Zodra één van deze nummers een sms-bericht verstuurt of belt, wordt de communicatie onderschept en geblokkeerd. Ook voorkomt de malware dat er een melding of waarschuwing verschijnt en worden elk spoor van het sms-bericht of gesprek uit de logbestanden van het toestel verwijderd.

De onderschepte sms-berichten worden vervolgens in een interne database verzameld en naar de Command & Control-server gestuurd. Op wat voor telefoonnummers en sms-berichten de aanvallers het hebben voorzien laat FireEye niet weten. Het beveiligingsbedrijf stelt wel dat aanvallers steeds meer interesse in dit soort data krijgen.