Cybercriminelen combineren phishing met Android-malware om zo toegang tot internetbankieren en creditcardgegevens van slachtoffers te krijgen. Dat laat securitybedrijf Proofpoint in een analyse weten. De nu waargenomen aanvallen zijn gericht tegen klanten van grote Oostenrijkse banken.

De aanval begint met een e-mail die van de Bank Austria, Raiffeisen Meine Bank en Sparkasse afkomstig lijkt en een via Bit.ly afgekorte link bevat. De linkt wijst naar een phishingpagina waar gebruikers wordt gevraagd om met hun gegevens in te loggen. Zodra de gebruiker is 'ingelogd' wordt er om zijn e-mailadres en telefoonnummer gevraagd. Nadat ook deze gegevens zijn ingevuld verschijnt er een melding.

Daarin staat dat de klant de security-app van de bank direct moet installeren, anders zal toegang tot de rekening worden geblokkeerd. Hiervoor wordt wederom een met bit.ly afgekorte link gebruikt. Om de zogenaamde security-app te kunnen installeren moeten gebruikers eerst installaties uit onbetrouwbare bronnen toestaan. De phishingpagina laat gebruikers zien hoe ze dit op hun smartphone kunnen instellen. De app is in werkelijkheid een variant van de Marcher-malware.

Deze malware steelt gegevens om fraude met internetbankieren te kunnen plegen. Ook probeert de malware via malafide pop-ups op het toestel creditcardgegevens te stelen. Bit.ly houdt bij hoe vaak er op een afgekorte link is geklikt. Aan de hand daarvan zagen onderzoekers dat één van de phishingpagina's die in de phishingmail werd genoemd 86 clicks had ontvangen. Vervolgens werd de afgekorte link naar de zogenaamde security-app 12 keer geopend, wat een succespercentage van 7 procent is.