Siden starten af 2021 har to nye typer af malware ramt Android-enheder, primært i Europa. De er begge to såkaldte banking trojans, der er skabt til at stjæle bankoplysninger, omend de kan meget mere. Og så imiterer de populære apps for at snyde ofre til at installere dem på deres enhed.
Malware spredt gennem falske apps
Den første type malware bliver kaldt TeaBot eller Anatsa. Måden malwaren inficerer ofrets enhed på, er ved at ofret bliver snydt til at installere en falsk udgave af populære apps udenom Google Play Butik. Bitdefenders eksperter har dokumenteret en række nye falske udgaver, heriblandt filafspilleren VLC, der i Play Butik hedder VLC for Android, mens den falske udgave hedder VLC MediaPlayer.
Når først den falske udgave er installeret, vil den give hackerne mulighed for at fange beskeder, udføre keylogging på enheden (hvor alle indtastninger indsamles af hackerne), stjæle Google autentificeringskoder og endda tage fuld kontrol over enheden.
Indtil videre har TeaBot ifølge Bitdefenders telemetri primært ramt Spanien, mens en del rapporter også er blevet set i Italien og Holland. Den anden type malware, FluBot, har dog ramt Danmark.
Kæde-SMS’er bruges til at sprede FluBot
FluBot, der også er kendt som Cabassous, spredes på en anden måde end TeaBot, nemlig vha. spam-SMS’er. SMS’erne forsøger at få modtagerne til at klikke på et link til en legitim hjemmeside, som hackerne har haft succes med at angribe og plante malwaren på, som så bliver downloadet, når modtageren klikker ind på siden. Når malwaren downloades, forestiller den at være populære apps fra eksempelvis DHL eller FedEx.
Derudover har Bitdefenders eksperter observeret, at hvis malwaren får inficeret et offers enhed, så vil den indsamle enhedens kontaktoplysninger og sende oplysninger til hackernes kommando- og kontrol-servere. Dér vil oplysningerne blive sat ind i en skabelon af spam-SMS’en, som bliver sendt tilbage til den inficerede enhed. Fra den inficerede enhed bliver de nye spam-SMS’er så sendt videre til alle kontakterne, inklusiv en hilsen med den nye modtagers fornavn.
Ud over kontaktoplysninger kan FluBot også stjæle bankoplysninger samt indsamle private oplysninger fra den inficerede enhed. Bitdefenders telemetri viser, at hovedparten af angreb er sket i Tyskland, efterfulgt af Spanien og Italien, men der er også set rapporter i Danmark.
Sådan beskytter du dig selv mod de nye kampagner:
- Download udelukkende gennem Google Play Butik – Den simpleste måde at undgå at blive offer for en af de to nye kampagner er ved aldrig at installere apps fra andre steder end Google Play Butik. Selvom du ikke kan være 100 procent sikker, når du installerer apps fra Play Butik, så er det stadig langt mere sikkert, end det slaraffenland af tredjepartsbutikker og tilfældige hjemmesider.
- Gennemgå app-tilladelser – Vær opmærksom på, hvilke tilladelser den nye app, du har installeret, beder om adgang til; giver det mening i forhold til app’ens formål? Hvis ikke, så afinstallér den igen.
- Hold dig fra links i beskeder – Klik ikke på links i beskeder, heller ikke hvis du har fuld tillid til afsenderen. Du er måske nysgerrig efter at vide, hvad det er din ven har sendt dig og hvorfor. Men før du klikker, så ring i stedet til vedkommende og spørg hvad det er – det er en lille indsats, der kan ende med at redde dig fra en stor hovedpine.
- Installér en sikkerhedsløsning – En sikkerhedsløsning kan hjælpe med at beskytte dig mod en lang række ondsindede angreb, heriblandt malware.