Flubot attackerar svenska Android-mobiler

Sverige har länge dragits med bluff-SMS som ser ut att komma från Postnord, DHL, UPS och andra större speditörer. Målsättningen med dessa bluff-SMS har varit att lura offren till att betala en påhittad avgift för att deras paket ska levereras. Läs mer om detta i artikeln Falska SMS-aviseringar från Paketinfo.

Under den gångna veckan gick Cert-SE (MSB) ut med en varning om en ny variant av bluffen. I stället för att försöka få offren att betala avgifter försöker angriparna nu att infektera mobiler. Det gör de genom att skicka SMS som ser ut att komma från någon av de större speditörerna. I SMS:et länkar de till en webbplats som påminner om den riktiga speditörens webbplats men som i själva verket ligger under angriparnas kontroll. På den bedrägliga webbplatsen uppmanar de besökarna att installera speditörens app för att spåra en försändelse. I själva verket är appen en trojan som stjäler lösenord och annan känslig data. Detta framgår av brittiska NCSC:s varningsartikel som också berättar att appen stjäl kontaktlistor och skickar ut SMS för att sprida bluffattacken vidare.

Anders Nilsson, IT-säkerhetsexpert vid Eset, rapporterar via Facebook att de har sett en stor ökning av Flubot-attacken i Sverige och Norden under de senaste dagarna. Det är därför värt att påminna vänner och bekanta om att vara extra uppmärksamma.

Kräver manuell installation

Flubot är en i raden av Android-appar som infekterar mobilen genom att lura användaren att installera trojanappen. Den här gången används en paketavisering som vilseledande svepskäl. I avsnitt 116 av Bli säker-podden pratade vi om hur möjligheten att fuska i mobilspel användes som incitament.

Gemensamt för alla dessa trojanappar är att de distribueras via angriparnas webbplatser och inte genom Androids officiella appbutik Google Play. För att överhuvudtaget kunna installera trojanapparna måste användaren ladda ned dem manuellt och klicka sig förbi varningsrutor som informerar användaren om riskerna.

Vår rekommendation är att aldrig installera appar från andra källor än Google Play. Vi vill också påminna om att aldrig lita på information som kommer via SMS. Avsändaren av ett SMS kan själv välja vilket nummer eller namn som ska stå i avsändarfältet. Läs mer om detta i artikeln Risk för SMS-bedrägerier efter MSB:s utskick.

Flubot infekterar inte Iphone-mobiler, men som vi nämnde inledningsvis används samma bluff-SMS-metoder även i andra attacker.

Om du har drabbats

Om du har råkat installera Flubot-trojanen finns det tre åtgärder som du behöver vidta.

  • Fabriksåterställ mobilen och installera allt på nytt. Tänk på att den senaste säkerhetskopian och eventuella Micro-SD-kort kan ha påverkats av infektionen.
  • Kontrollera att ingen har fått obehörig åtkomst till ditt Google-konto. Detta gör du enklast genom att öppna Google-kontosäkerhetsinställningarna från en dator.  
  • Byt alla lösenord som angriparna kan ha kommit över när du skrivit in, visat eller kopierat dem på mobilen.

Som vanligt rekommenderar vi också att du säkerställer att din mobil kör en underhållen version av Android. Om den inte har fått säkerhetsuppdateringar på över tre månader är det ett tydligt tecken på att mobiltillverkaren har lagt ned underhållet av mobilmodellen. Google underhåller för närvarande Android 8.1 och senare, men det är upp till de enskilda mobiltillverkarna att förse sina mobiler med säkerhetsuppdateringarna som Google släpper.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.