De malware verstopt zich in andere apps en infecteerde op zijn hoogtepunt 13.000 Android-telefoons per dag. Daarbij richt het virus zich op Android 4 en 5. Infecties vinden met name plaats in Azië (57 procent), maar ook in Europa (9 procent).

Volgens Check Point root de malware (een variant op het hardnekkige Ghost Push) het toestel, waarna e-mailadressen en authenticatie-tokens worden gestolen. Daarmee kan ingebroken worden op apps van Google, zoals Gmail, Photos en Drive.

Het security-bedrijf meldt dat het in een miljoen gevallen ook al zover is gekomen.

Downloaden en raten

Daarnaast zorgt de malware ervoor dat er allerlei frauduleuze apps naar de telefoon worden gedownload en geïnstalleerd. Met het gestolen account van de gebruiker worden ze tevens van positieve reviews voorzien, zodat ze hoger in Play Store-lijsten terecht komen. Op die manier worden er sneller nieuwe slachtoffers gemaakt.

Check Point ontwikkelde een gratis tool (op moment van schrijven tijdelijk onbereikbaar), waarmee gekeken kan worden of er sprake is van een infectie. Mocht dat zo zijn, dan zit er weinig anders op dan de telefoon te flashen naar een schone installatie. Het bedrijf werkt samen met Google om de malware voortaan een slag voor te zijn.