Laboratorium CERT Polska otrzymało próbkę aplikacji E-Security dla systemu Android, której celem jest wykradanie haseł jednorazowych do kont bankowości elektronicznej. Aplikacja jest przeznaczona dla posiadaczy kont w polskich bankach. Podszywa się pod "certyfikat" pozwalający na szyfrowanie algorytmem AES o długości 256 bitów, a infekcja rozpoczyna się nie od smartfonu, lecz od komputera.
Na komputerze ze złośliwym oprogramowaniem, przy próbie wejścia na stronę banku, może pojawić się komunikat o możliwości instalacji dodatkowego zabezpieczenia konta – "certyfikatu E-Security". By go ściągnąć, należy podać numer telefonu i działający na nim system operacyjny. Posiadacz telefonu otrzymuje wiadomość SMS z linkiem do aplikacji, a nawet instrukcją jak włączyć instalację programów z nieznanych źródeł. Po instalacji i "aktywacji" E-Security następuje powiązanie danych logowania do konta z numerem telefonu, na który przychodzą hasła jednorazowe.
Podczas dalszej pracy aplikacja przechwytuje wiadomości SMS i może przekierowywać je na inny numer telefonu. Za sprawą kodów sterujących przekierowanie może być realizowane na różne numery, a także całkowicie deaktywowane przez intruza. W ten sposób posiadacz konta bankowego może nawet nie wiedzieć, że przez pewien krótki czas jego hasła jednorazowe docierały do przestępców.
