Europese Androidgebruikers zijn steeds vaker het doelwit van malafide IPTV-apps, die beweren dat gebruikers er allerlei tv-kanalen mee kunnen kijken, maar in werkelijkheid malware zijn gebruikt voor bankfraude. Dat meldt securitybedrijf ThreatFabric in een analyse. De aanvallers hebben het onder andere voorzien op Androidgebruikers in Frankrijk, Spanje, Portugal en Turkije.

De malafide apps worden buiten de Google Play Store om aangeboden, bijvoorbeeld via phishing of smishing. Volgens de onderzoekers zijn gebruikers van IPTV-applicaties er gewend aan dat deze apps buiten de Google Play Store om worden aangeboden, bijvoorbeeld via de website van de aanbieder of Telegram-kanalen. ThreatFabric beschrijft in een nieuwe analyse een recent ontdekte malafide IPTV-app gericht op Portugese Android-gebruikers.

Om gebruikers niets te laten vermoeden wordt na de installatie van de app via een WebView een echte IPTV-website geopend. Een WebView is een soort browservenster dat apps kunnen gebruiken om websites binnen de applicatie weer te geven. In de achtergrond is echter de malware actief, die de onderzoekers 'Massiv' noemen.

Eenmaal actief kan de malware via een keylogger wachtwoorden en andere inloggegevens opslaan, sms-berichten onderscheppen, de aanvallers laten zien wat erop het scherm van de besmette telefoon gebeurt en phishing-overlays plaatsen. Wanneer het slachtoffer zijn bank-app start wordt er boven de app een overlay geplaatst die bijvoorbeeld om inloggegevens vraagt.

Daarnaast biedt de malware aanvallers remote toegang. Die kunnen zo vanaf de besmette Androidtelefoon bijvoorbeeld bankfraude plegen. Daardoor lijkt het voor de bank alsof frauduleuze transacties van de gebruiker zelf afkomstig zijn. Om gebruikers tijdens dergelijke transacties niets te laten vermoeden kan de malware ook een zwart scherm tonen. Volgens ThreatFabric gaat het vooralsnog om kleinschalige aanvalscampagnes, maar is het belangrijk dat gebruikers hier alert op zijn.