Malware-kampagne mod danske Android-telefoner

It-kriminelle forsøger via links i SMS'er at narre danskere til at installere malware på deres Android-telefoner.

Malwaren Mazar er forsøgt sneget ind på adskillige danske Android-telefoner.

Det fortæller det danske sikkerhedsforetagende Heimdal om i et blogindlæg, der er nogle dage gammelt.

Det er i den forbindelse værd at bemærke, at der jævnfør Heimdals beskrivelse ikke er noget, der tyder på, malwaren kommer ind ved at udnytte egentlige sårbarheder i Android-styresystemet.

Derimod foregår det med en sms med et link, der er lavet, så det ser ud som om, brugeren har fået tilsendt en mms, hvor multimedie-beskeden så kan tilgås via linket.

BBC News, der har talt med Heimdals danske direktør Morten Kjærsgaard, fortæller, at over 100.000 danske telefoner skulle have modtaget sms-beskederne.

Det britiske medie kan endvidere berette, at Heimdal har testet angrebet i forhold til Android 4.4, og ifølge Kjærsgaard, så er tidligere udgaver af styresystemet nok også ramt. Heimdal har ikke testet på nyere versioner af Android.

I forbindelse med at telefonen bliver inficeret med Mazar-malwaren skal brugeren godkende en række rettigheder til det ondsindede software. Kilde: heimdalsecurity.com

Af den danske virksomheds blogindlæg fremgår det, at linket i sms'en til en APK-fil. Som nogen vil vide, er det en installationsfil til Android-styresystemet.

Efter APK-filen, som er Mazar-malwaren, er installeret har bagmændene nu mere eller mindre fuld kontrol over telefonen.

Brugeren skal godkende malware

Det forudsætter dog, at brugeren godkender installationen af programmet, der præsenterer sig som 'MMS Messaging' og kræver en stribe rettigheder. Herunder adgang til beskeder, netværkskommunikation, adgang til at sende sms-beskeder, oplysninger om telefonopkald og adgang til systemværktøjer.

Her kan brugeren vælge at trykke annuller eller installer. Vælger brugeren at gøre det sidste, henter programmet en Tor-klient ned på offerets enhed. Tor-softwaren bliver nu udpakket og tilgår et onion-domæne. Det er et anonymiseret domæne på Tor-nettet.

Nu bliver der sendt en SMS til et iransk nummer med beskeden 'Thank you'. Beskeden indeholder desuden oplysninger om enhedens placering.

En detalje, bemærker Heimdal i blogindlægget er, at Mazar-softwaren er sat op til ikke at køre på russisksprogede Android-telefoner. Det bliver identificeret ved at gøre følgede på apparatetet.

locale.getCountry ()
equalsIgnoreCase ( “RU”))
Process.killProcess (Process.myPid ());

Udover det åbenlyse råd om, at det i udgangspunktet er en dårlig idé at installere software på sin telefon fra ukendte kilder, så har Heimdal en række andre fif til at undgå Android-malware. Det første er, at man skal lade være med at klikke på links i sms'er eller mms-beskeder.

»Android-telefoner er kendte for at være sårbare, eksisterende sikkerhedsprodukter til dette styresystem er ikke nært så effektive, som de er til computere.«

Det råd fra Heimdal er, at man skal sørge for, funktionen, der gør det muligt at installere programmer fra ukendte kilder, er slået fra i apparatet. Det er den, Version2 bekendt, som standard.

Og så anbefaler Heimdal, at man installer antivirus-software, at man ikke forbinder til usikrede eller ukendte wifi-hotspots, og at man installerer VPN-software på sin telefon.

Endeligt er der et generelt råd om altid at være forsigtig i forhold til Android.

»Android-sikkerhed har ikke holdt trit med den høje indførelse af smartphones, der kører styresystemet, og brugere kan være nødt til at vente længe på, der kommer en bedre sikkerhedsløsning. Indtil da, så er en nøje vurdering af, hvad der sker på din telefon, en god sikring.«

Kommentarer (5)

Henrik Madsen

Er der nogen der har en god forklaring på hvorfor malwaren så specifikt går udenom russiske telefoner ?

Mit eneste gæt ville være at malwaren er lavet af en russer som ikke vil have ballade med sit hjemlands domstole ?

Johnnie Hougaard Nielsen

Måske er domstolene ikke den største risiko. Det kunne være yderst ubehageligt (eller værre) at få "opdragelse" fra et par stærke og diskrete mænd.

Rent praktisk er der jo også en del i Rusland (m.v.), der bruger "mindre sikre" app stores, således at vejen til at lade sig phishe er det kortere.

Jakob Møllerhøj Journalist

Hvorfor skrives artikler i Version2 nogle gange som om de er rettet imod folk uden forståelse for it?

Vores primære målgruppe er ganske vist it-folk. Men dels dækker det begreb over en bred skare af mennesker med specialer inden for forskellige områder, så hvad der er evident for en pen-tester er måske mindre indlysende for en projektleder. Og dels er det vel ingen skade til, hvis ikke-it-folk også kan blive klogere på it i stedet for at blive afvist ved døren. Jakob - Version2.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen