De FBI heeft een waarschuwing afgegeven voor twee malwarefamilies die inloggegevens voor internetbankieren van Android-toestellen stelen om vervolgens de bankrekening te legen. Het gaat om twee families genaamd SlemBunk en Marcher die het op Amerikaanse bankklanten hebben voorzien.

Gebruikers moeten de malware zelf op hun toestel installeren. Om zich te verspreiden maken de malwaremakers gebruik van sms- en mms-berichten die stellen dat de gebruiker Adobe Flash Player nodig heeft. In werkelijkheid is het aangeboden bestand de malware. Ook wordt de malware via besmette advertenties en pop-ups op pornosites aangeboden, waarbij de malware zich weer voordoet als Adobe Flash Player. Daarnaast wordt de malware ook via onofficiële marktplaatsen verspreid en maken de malwaremakers gebruik van phishingmails.

Aangezien de malware niet op Google Play is aangetroffen moeten gebruikers niet alleen de malware zelf downloaden, maar vervolgens voor het installeren ook inschakelen dat apps uit onbekende bronnen mogen worden geïnstalleerd. Na de installatie zal de malware bij de mobiel bankieren-app een overlay tonen die om de inloggegevens voor internetbankieren vraagt. Die worden vervolgens naar de aanvallers teruggestuurd, aldus de waarschuwing die op de website Public Intelligence is verschenen.

De malware kan ook twee-factor authenticatie van banken omzeilen. Eenmaal actief worden sms-berichten, bijvoorbeeld met een mobiele tan-code, namelijk gemonitord en onderschept. Met deze gegevens kunnen de aanvallers vervolgens frauduleuze transacties uitvoeren. Om dergelijke aanvallen te voorkomen geeft de FBI verschillende adviezen voor organisaties, zoals het instellen van waarschuwingen voor onbekende ip-adressen en apparaten die op de accounts proberen in te loggen en het onderwijzen van particulieren over dergelijke dreigingen.