Søk
Meny

Pass på! Aggressiv Flubot-malware fortsetter å spre seg blant norske mobiler

Se opp for Flubot, en ny malware på Android

Har du fått en ukjent tekstmelding om en «pakke på vei»? Da må du være oppmerksom, advarer sikkerhetsekspert. På det meste har Telenor stoppet 1,3 millioner slike SMS i døgnet.

Mange nordmenn har den siste tiden mottatt en SMS om at en pakke er på vei til dem. Meldingen er gjerne på engelsk, men er sendt fra et norsk mobilnummer – og inneholder en lenke.

– Ikke trykk på denne lenken! Sjansen er nemlig stor for at du da kommer til en nedlastingsside for malware, rettet spesifikt mot Android-mobiler, sier Thomas Kopperud, Fraud Manager i Telenors sikkerhetsavdeling.

Malware-applikasjonen, som går under navnet Flubot, har på rekordtid rukket å spre seg blant mange norske mobilbrukere. I starten ble meldingene spredd kun via SMS, men har nå også begynt å spre seg via MMS.

– Dersom Flubot blir installert på en mobil, vil den laste ned personlige detaljer og prøve å lure brukeren til å gi fra seg nettbank-detaljer. Den ondsinnede applikasjonen vil også sende ut svært mange meldinger til andre mobiler – for på denne måten å spre seg videre, sier Kopperud.

Har du en Android-mobil, vil du fortsatt ledes inn til en nettside som forsøker å installere Flubot-viruset på mobilen din. Har du iPhone, vil du i stedet bli ledet videre en phishing-side som forsøker å fralure deg personlig informasjon.

På det meste har Telenor stoppet 1,3 millioner slik SMS i døgnet, og hele 7,5 millioner på en uke – men flere slipper likevel gjennom. Vær derfor obs, og ikke trykk ukritisk på lenker!

Har du blitt lurt? Se hva du må gjøre nederst i saken.

Flubot-melding på iPhone

NÅ OGSÅ PÅ NORSK: Den nye bølgen med Flubot-meldinger kommer nå med forskjellige budskap, og på norsk. Samtidig vil også iPhone-brukere rammes, da lenken for dem leder til en phishing-side. Samme lenke vil for Android-brukere føre til en side med virusnedlasting.

Hundrevis av meldinger – fra én mobil

– De første henvendelsene vi fikk om dette til kundeservice, gjaldt meldinger på engelsk sendt fra tyske numre. Like etter kom rapporter om like meldinger på engelsk, men nå fra norske numre, sier Kopperud – som har fulgt angrepet siden de første rapportene kom fra land som Spania, Italia, Tyskland og Polen.

– Det er åpenbart at dette er et internasjonalt angrep med en enorm spredning, som nå også ser ut til å ha fått fotfeste blant norske mobilbrukere.

Ved å analysere mobiltrafikken fra ofre som har rapportert fra om angrepet, kunne Telenors sikkerhetsteam se at det like etter angrepet har gått ut mange hundre meldinger fra ofrenes mobilnumre.

– Hos enkelte er det snakk om opptil 800-1000 meldinger, uten at vi vet helt sikkert hvordan disse numrene velges ut. Vi trodde først det kunne være snakk om kontakter i offerets telefonlister, men mye tyder nå på at det er snakk om numre som er hentet fra andre steder på nettet, sier Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.

Slik ser nedlastingssiden ut

STYR UNNA: Slik ser den falske DHL-siden ut, der mange nå lures til å laste ned ondsinnet programvare til sin Android-mobil.

Thomas Kopperud, Fraud Manager i Telenors sikkerhetsavdeling.

Thomas Kopperud, Fraud Manager i Telenors sikkerhetsavdeling.

Ikke trykk – og ikke last ned!

Mange av meldingene som er registrert så langt i Flubot-angrepet gir seg ut for å være fra pakkeselskapet DHL, men det har også dukket opp flere andre varianter som alle sammen spiller på samme tema (og har ordet ‘dhl’ som en del av nettlenken): At du har en pakke på vei.

– Dette er i seg selv ikke nytt, og heller ikke overraskende i disse tider der mange handler på nett. Slik sikrer svindlerne at de potensielt treffer mange før de rekker å tenke seg om, sier Thorbjørn Busch.

Men om du mottar en melding om en pakke på vei, med en ukjent lenke, er oppfordringen krystallklar:

– Ikke trykk! Om du faktisk venter en pakke, så går du heller inn via den offisielle siden, og sporer den der. Nå er det såpass mye phishing og svindel i omløp, at vi alle i større grad må begynne å bruke de offisielle kanalene. Og skal du laste ned en app, så gjør det via de offisielle app-butikkene AppStore og Google Play, sier Busch.

Thorbjørn Busch, senior sikkerhetsrådgiver i Telenors sikkerhetsavdeling.

Thorbjørn Busch, senior sikkerhetsrådgiver i Telenors sikkerhetsavdeling.

Ifølge Thomas Kopperud kamuflerer Flubot seg nemlig som en applikasjon, som du blir bedt om å laste ned via siden du kommer til via lenken.

– For at Flubot skal bli installert på en mobil, må mottakeren ha åpnet for å installere programmer fra en uoffisiell kilde – og det er det åpenbart mange som har gjort, sier han.

Hva skal du gjøre?

Om du har mottatt en SMS med innhold som du mistenker er svindel, anbefaler Busch at du kontakter Telenors kundeservice:

– På denne måten kan vi få lagt til nettadressen i meldingen til vårt sikkerhetsfilter Nettvern, og på den måten forhindre andre Telenor-kunder fra å potensielt gå i fella.

Likevel kan det hende at noe slipper gjennom. Og skulle du allerede ha gjort noe overilt, og installert et program du tror kan være Flubot, må du ifølge Kopperud gjøre følgende så raskt som mulig:

  • Har du logget deg på noen nettsider med brukernavn og passord, må du bytte disse umiddelbart. Sjansen er stor for at Flubot har fanget opp disse, og delt dem med svindlerne. Sperr også eventuelle bankkort du må ha brukt via mobilen.

  • Deretter må du starte mobilen din i sikker modus (Safe Mode), og avinstallere viruset herfra. Hvordan dette gjøres, kan du se i denne videoen.

  • Går ikke dette, er du nødt til å tilbakestille mobilen din til fabrikkinnstillingene. Gjør du dette fra en backup, må du sørge for å gjøre dette fra en versjon som er fra før du installerte den ondsinnede programvaren.

En typisk Flubot-melding

FALSK MELDING: Slik ser en typisk Flubot-melding ut. Dette er riktignok på en iPhone, som foreløpig ikke er rammet på samme måte som på Android. Legg merke til det norske mobilnummeret og 'dhl' i den ellers ikke-relaterte nettadressen.

Ønsker du litt mer trygghet i din digitale hverdag? Med sikkerhetspakken SAFE fra Telenor kan du blant annet få varsel om ditt betalingskort er på avveie på det mørke nettet.