Dubbla vågor av falska paket-SMS

I morgonens avsnitt av Bli säker-podden varnade vi för att angripare skulle börja skicka ut massvis av falska paketleverans-SMS. Faktumet att en så stor del av den svenska befolkningen väntar på julförsändelser spelar angriparna rakt i händerna. Genom att skicka ut mängder av påstådda leveransaviseringar kommer julstressade mottagare tro att de falska SMS:en är äkta.

I samma avsnitt varnade vi också för att våra finska vänner har översköljts med attack-SMS under den senaste veckan. Den finska motsvarigheten till MSB:s Cert-SE meddelade i fredags att cirka 70 000 Flubot-SMS hade skickats på bara ett dygn (Flubot är en Android-trojan som vi skrev om i våras). Finska NCSC-FI hade också redan konstaterat ett dussin infektioner.

Två attacker samtidigt

Just nu attackeras svenska mobilanvändare med falska SMS. Baserat på informationen som vi har fått i Säkerhetsbubblan och från våra läsare är omfattningen stor. Svenska polisen har också gått ut med en varning på sin Facebook-sida.

Efter att ha analyserat länkarna som vi har tagit del av kan vi konstatera att det är minst två olika attacker som pågår samtidigt. Vissa SMS tar besökaren till en falsk webbsida som ser ut som Postnords. Där försöker bedragarna lura av mottagarna deras betalkortsuppgifter.

Falsk webbsida låtsas vara Postnord för att lura av besökaren betalkortsinformation.
Den falska versionen av Postnords webbplats.

Andra SMS tar mottagaren till en falsk webbsida som ser ut som DHL:s. Där uppmanas besökaren att ladda ned en app för att kunna spåra sitt paket. Webbsidan förklarar att användaren måste godkänna installation av appar från okända källor. Detta krävs eftersom appen inte distribueras via den officiella appbutiken Google Play. I själva verket är det nämligen inte en DHL-app utan en trojan.

Falsk webbsida låtsas vara DHL för att besökaren ska infektera sin Android-mobil med en trojan.
Den falska versionen av DHL:s webbplats.

Vi har laddat upp trojanen till Virustotal för er som vill veta mer om den. För närvarande detekterar enbart 10 av 59 antivirus appen som ett skadeprogram. Den klassificeras både som en banktrojan och som den ovannämnda Flubot-trojanen, vilken stjäl all information som den kan komma över på mobilen.

Om du får ett bluff-SMS

Om du får ett SMS från Postnord eller annan postoperatör bör du aldrig klicka på någon länk i det. Gå i stället till postoperatörens webbplats och sök efter försändelsenumret. Då hittar du all information som du behöver.

Kom ihåg att du aldrig kan lita på avsändaren av ett SMS. Avsändaren bestämmer själv vilket avsändarnummer eller avsändarnamn som ska visas. Angriparna som nu är i farten verkar ange ovetande privatpersoners telefonnummer. Personerna som får sina telefonnummer utnyttjade har alltså inte gjort något fel, utan de är också offer i denna härva.

Ifall du bara har klickat på länken behöver du inte vara orolig. Så länge du har en mobil som får säkerhetsuppdateringar kan du inte ha blivit infekterad av att enbart ha klickat på länken. Om du däremot har angivit ditt betalkortnummer bör du omedelbart spärra kortet, polisanmäla händelsen och ta kontakt med din bank.

Om du har en Android-mobil och har installerat den trojanpreparerade appen behöver du vidta tre åtgärder utöver att polisanmäla händelsen.

  • Fabriksåterställ mobilen och installera allt på nytt. Tänk på att den senaste säkerhetskopian och eventuella Micro-SD-kort kan ha påverkats av infektionen.
  • Kontrollera att ingen har fått obehörig åtkomst till ditt Google-konto. Detta gör du enklast genom att öppna Google-kontosäkerhetsinställningarna från en dator.  
  • Byt alla lösenord som angriparna kan ha kommit över när du skrivit in, visat eller kopierat dem på mobilen.

Som vanligt rekommenderar vi också att du säkerställer att din mobil kör en underhållen version av Android. Google underhåller för närvarande Android 9 och senare, men det är upp till de enskilda mobiltillverkarna att förse sina mobiler med säkerhetsuppdateringarna som Google släpper. Om mobilen inte har fått säkerhetsuppdateringar på över tre månader är det ett tydligt tecken på att mobiltillverkaren har lagt ned underhållet av mobilmodellen.

Ifall du har några frågor kring ovannämnda SMS, bedrägerier och attacker kan du ställa dem i kommentarsfältet här under.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar