Over 300.000 Android-brugere har - ved at besøge almindelige nyhedssites på nettet - uforvarende hentet en trojaner, der har til formål at aflure brugerens bankoplysninger.
Det skriver The Register.
Bagmændene bag malwaren har købt sig ind i Googles reklamenetværk, AdSense, der bruges af en lang række hjemmesider - herunder mange nyhedssites.
Alene ved at besøge en side, hvor malware-reklamen blev vist, har Chrome-browseren hentet den ondsindede .apk-fil ned på Android-brugeres enheder - uden yderligere klik, skriver Kaspersky i en blog om svagheden.
I alle øvrige browsere lykkes angrebet ikke. Men ved at bryde filen op i mindre dele omgår malwaren det almindelige sikkerhedstjek i Chrome.
Apk-filen præsenterer sig selv som en browser-update eller skjuler sig under titler som Skype og WhatsApp.
Hvis brugere har godkendt filer fra andre end Google-play og installerer app'en, vil den skjule sig fra listen over installerede apps og anmode om admin-rettigheder til enheden.
Derefter kan den såkaldte Svpeng-trojan stjæle informationer om kreditkort gennem phishing-vinduer og læse, sende og slette sms'er for at angribe bank-systemer, der bruger sms som transportlag.
Læs også: CFCS: Ondsindede aktører vil med stor sandsynlighed forsøge at udnytte aktuel Android-trussel
Google har ifølge sikkerhedsforskerne været hurtige til at blokere reklamerne, der spreder trojaneren. Men de forventer samtidig, at malware-bagmændene vil forsøge at sprede angrebet til andre lande.
Det forventes, at Google lukker hullet i Chrome-browseren næste patch-cyklus, der ifølge The Register lander den 3. december.