Onderzoekers hebben een malware-variant voor Windows ontdekt die na te zijn geactiveerd ook probeert om Android-toestellen te besmetten. De aanval begint met een e-mail die een exe-bestand als bijlage bevat. Als gebruikers de bijlage openen raken ze met een banking Trojan besmet.

Deze malware is speciaal ontwikkeld voor fraude met internetbankieren. Eenmaal actief wacht de malware totdat de gebruiker in zijn Gmail-account is ingelogd en laat dan een pop-up zien. Volgens de pop-up zijn er verdachte activiteiten op het Google-account waargenomen en moet de gebruiker de Google Authenticator-app installeren. Hiervoor moet de gebruiker zijn telefoonnummer in de pop-up invoeren. Vervolgens wordt er een sms gestuurd met een link naar een kwaadaardig apk-bestand.

Standaard zal Android het bestand niet installeren omdat het van een onbetrouwbare bron afkomstig is. Als de gebruiker deze instelling uitschakelt en het bestand toch installeert wordt de Marcher-malware op het toestel actief. Na de installatie verandert de pop-up op de Windows-computer en vraagt om een code van de net geïnstalleerde "app" door te geven. Waarschijnlijk wordt dit gedaan om de besmette pc en het Android-toestel aan elkaar te koppelen dat de infectie succesvol was. De app vraagt tijdens de installatie ook om beheerdersrechten om volledige controle over het toestel te krijgen.

In het verleden zijn er vaker banking Trojans voor Windows ontdekt die Android-toestellen proberen te infecteren. Op deze manier proberen criminelen de tweefactorauthenticatie van banken te omzeilen omdat de Android-malware de sms-berichten met authenticatiecodes kan doorsturen, zodat er geld van de rekening kan worden gestolen. De Marcher-malware doet dit echter niet. De malware probeert via een phishingvenster in de Google Play-, Gmail- of Paypal-apps creditcardgegevens te stelen, aldus beveiligingsbedrijf BadCyber.