Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons een gevirtualiseerde omgeving start, om zo gegevens voor online bankieren en cryptowallets te stelen. Dat stelt securitybedrijf Zimperium in een analyse. Eenmaal actief installeert de malware een malafide "host" applicatie die een virtualisatie framework bevat. De host downloadt vervolgens de bank- en cryptovaluta-apps waar het slachtoffer al gebruik van maakt. Daarbij worden er ook gebruikersgegevens van de al aanwezige bank- en cryptovaluta-apps gestolen die vervolgens binnen de gevirtualiseerde versies worden gebruikt.

Zodra het slachtoffer zijn bank- of cryptovaluta-apps wil starten, wordt ongezien de versie binnen de gevirtualiseerde omgeving geladen. Binnen deze omgeving wordt elke actie door de malware gemonitord en gecontroleerd. Volgens de onderzoekers heeft deze aanpak verschillende voordelen. Zo hebben de aanvallers volledige zichtbaarheid in de processen van de betreffende apps en kunnen zo inloggegevens en andere gevoelige data stelen.

Hoe de malware wordt verspreid laten de onderzoekers niet weten. Wel dat de installatie plaatsvindt via een malafide "dropper" app die gebruikers om permissies vraagt, waarmee de uiteindelijke malware wordt gedownload. De malware vraagt gebruikers vervolgens om de accessibility permissies om zo zelf allerlei acties op de telefoon uit te kunnen voeren. De malware kijkt daarna welke apps op de telefoon zijn geïnstalleerd en downloadt die, zodat ze binnen het virtualisatie framework zijn te gebruiken.

Verder ontdekten de onderzoekers dat de malware de gegevens voor het ontgrendelen van de telefoon steelt. Hiervoor laat de malware een overlay zien die op een echt vergrendeld scherm lijkt. Wanneer de gebruiker zijn ontgrendelpatroon, pincode of wachtwoord invoert slaat de malware die op. De malware maakt het tevens mogelijk om besmette telefoons op afstand te bedienen. Als laatste kan de malware ook nog traditionele overlays over aanwezige apps tonen, om zo inloggegevens van gebruikers te stelen.