Securityonderzoekers hebben een Android-bankingtrojan geïdentificeerd die vermoedelijk wordt aangestuurd vanuit de K99 Triumph City-compound in Cambodja. Deze locatie fungeert als een cybercrimehub van waaruit meerdere malwarecampagnes worden uitgevoerd. De ontdekking volgde op een opvallende piek in afwijkend DNS-verkeer via netwerken van Infoblox-klanten, wat leidde tot de identificatie van een tot dan toe onbekend malware-as-a-service-platform.

Het platform registreert maandelijks ongeveer 35 nieuwe domeinen die zich voordoen als banken, sociale zekerheidsdiensten, belastingautoriteiten, nutsbedrijven en politie in minimaal 21 landen. De meeste activiteiten richten zich op gebruikers in Indonesië, Thailand, Spanje en Turkije. Zodra slachtoffers een nep-app installeren, krijgen de operators volledige controle over het apparaat. De trojan verzamelt gezichtsherkenningsgegevens tijdens vervalste Know Your Customer-controles, onderschept sms-berichten met eenmalige toegangscodes en logt ongemerkt in op mobiele bankieren-apps om geld over landsgrenzen te verplaatsen. Hierdoor worden biometrische gegevens en eenmalige wachtwoorden ingezet als aanvalsvectoren voor accountovernamefraude.

De K99 Triumph City-compound stond eerder al in de belangstelling van de Verenigde Naties vanwege grootschalige oplichting en dwangarbeid. Volgens Dr. Renée Burton, Vice President van Infoblox Threat Intel, bevestigt deze ontdekking dat het hier niet gaat om incidentele fraude, maar om georganiseerde, fabrieksmatige cybercriminaliteit. De trojan werd opgespoord door Infoblox Threat Intel in samenwerking met het Vietnamese non-profit Chong Lua Dao.