Skadevare rammer alle plattformer, og de mobile operativsystemene er intet unntak. Nå rapporteres det om funn av ny skadevare til Android som det er verdt å være oppmerksom på, melder blant andre Techradar.
Sikkerhetsselskapet Bitdefender advarer nå mot Android-skadevare som spres gjennom falske apper som utgir seg for å være legitime, populære applikasjoner – i tillegg til via SMS-meldinger.
Kamufleres som legitime apper
Skadevaren det dreier seg om, er de to banktrojanerne Teabot og Flubot. Når det gjelder førstnevnte, har Bitdefender registrert at førstnevnte programvare sprer seg gjennom falske versjoner av mye brukte apper som i noen tilfeller har flere titalls millioner nedlastinger.
Blant disse finner man den kjente medieavspillingsappen VLC og Android-utgaven av Kasperskys antivirusprogramvare, samt apper fra fraktselskapene FedEx og DHL.
De falske appene befinner seg altså ikke på Google Play, men spres på andre måter, hvorav mange er ukjente. Bitdefender har imidlertid registrert én spredningsmetode for appene som selskapet beskriver som uvanlig.
Falsk annonseblokkering
De ondsinnede appene spres nemlig via et falskt annonseblokkeringsprogram som sikkerhetsselskapet simpelthen omtaler som Ad Blocker. Programmet fungerer ved å innhente ulike tillatelser fra brukeren, deriblant tillatelse til å installere applikasjoner fra andre steder enn Google Play.
Bitdefender sier imidlertid ingenting om hvordan annonseblokkeringsprogrammet distribueres i utgangspunktet, så kilden er i skrivende stund ukjent.
Teabot ble omtalt av sikkerhetsselskapet Cleafy i mai. Ifølge selskapet ble skadevaren først oppdaget i januar og er blant annet i stand til å stjele persondata og avskjære SMS-meldinger i den hensikt å tilrettelegge for banksvindel.
Den er hovedsakelig registrert i Vest-Europa med Spania og Italia som hovedmål, men har også dukket opp i blant annet Nederland, Belgia og Storbritannia. Det er uvisst i hvilken grad Norge er omfattet.
Flubot i Norge
Når det gjelder den andre banktrojaner-varianten, Flubot, retter denne seg også mot Vest-Europa, og ifølge Bitdefender er Norge blant landene hvor man har funnet skadevareprøver tilhørende Flubot-trojaneren.
I motsetning til Teabot har Flubot ormelignende egenskaper og sprer seg fra person til person via SMS-meldinger. Skadevaren stjeler kontaktnavn og telefonnumre fra offerets telefon og sender dataene til servere som drives av bakmennene. Disse serverne genererer SMS-meldinger som i sin tur sendes fra offerets telefon av Flubot-programvaren.
Meldingene inneholder ondsinnede lenker som sender mottakerne til nettsider som er kompromittert av bakmennene. Mange av disse nettsidene er ifølge Bitdefender legitime sider som er hacket eller kapret, og det skal dreie seg om over hundre sider.
Flubot er altså også en banktrojaner og kan stjele persondata som kan brukes til banksvindel, men programmet har ikke like komplisert funksjonalitet som Teabot, sier Bitdefender.
Sikkerhetsselskapet Malwarebytes omtalte også Flubot i april og pekte på at de fleste av de falske SMS-meldingene utgir seg for å være fra DHL og inneholder beskjeder om pakker som er på vei, eller som ennå ikke er hentet. Ifølge selskapet kan Trubot, i tillegg til ovennevnte egenskaper, deaktivere Google Play Protect og avinstallere andre applikasjoner.
Mer informasjon om de to banktrojanerne finner du hos Bitdefender.