SMS virus

De fleste av oss har nok opplevd å motta litt rare tekstmeldinger som ber oss om å klikke på en lenke. En variant er spesielt farlig, da denne ber deg laste ned en app som får tilgang til hele telefonen din. Det finnes flere eksempler på dette: “En pakke på vei til deg, men den er stoppet og du må betale”. “Abonnementet ditt er utløpt og du må oppdatere betalingsopplysningene dine”. “Du har en melding på telefonsvareren din.” “Er det deg i denne videoen?” I alle disse meldingene ligger det en link du blir bedt om å trykke på og laste ned en app. De aller fleste som sender ut disse meldingene er ikke engang klar over at de gjør det. Fordi det er en app på telefonen deres som sender de ut.

Personer som har sendt ut slike meldinger har opplevd trakassering, sjikane og til og med trusler. Dette hjelper ingen og gjør bare situasjonen verre for den som har fått viruset. Du bør isteden varsle din mobiloperatør ved å kontakte kundeservice. Det hjelper å varsle, for da kan mobiloperatørene stoppe SMSene før de sendes videre.

Telenor: https://www.telenor.no/kundeservice/

Telia: https://www.telia.no/kundeservice/

ICE: https://www.ice.no/kundeservice/

Flubot

Dette er en skadevare som forkler seg som en app. Det kalles Flubot fordi den sprer seg raskt og i stort omfang. Dette er en skadevare som sprer seg kun mellom android-telefoner. Appen vil kunne få tilgang til personlige opplysninger, som den overfører til den som har laget skadevaren. Dette kan være informasjon som påloggingsinformasjon, lagrede kontakter, lagrede kredittkort eller bankopplysninger. Den kan også lagre dine tastetrykk og med dette få tilgang til nettbanken din. Dette i tillegg til at den også kan sende ut meldinger. Det har blitt registrert tusenvis av sendte SMS i døgnet fra en slik app.

Måten appen installeres på er at brukeren får tilsendt en SMS fra en allerede infisert telefon. En SMS som tilsynelatende er fra DHL om at pakken din ikke kunne leveres. Eller at brukeren må klikke på en lenke for å høre en talemelding til deg. I tillegg får man ofte beskjed om å handle raskt, slik at man ikke mister pakken/talemeldingen etc. Om man klikker på denne lenken blir man sendt til en side som ber deg om å laste ned en app. Denne forkler seg gjerne som DHLs sporingsapp, talepostkasse-app eller en videoavspiller. Når denne lastes ned og installeres får appen tilgang til informasjon og funksjoner på telefonen. Som å kunne sende SMS og administrere anrop og få tilgang til opplysninger lagret på telefonen.

IPhone-brukere blir ikke infisert, men henvist til en side hvor de blir bedt om å legge inn en del sensitiv informasjon.

Måter å beskytte seg på

Ikke trykk på lenker

Vi kan ikke få sagt det ofte nok: Ikke klikk på lenker. Bruk Datahjelpernes linksjekker.

Tror du meldingen kan være ekte finnes det måter å finne ut av dette på. Hvis du faktisk har bestilt en pakke har du sannsynligvis mottatt en mail med sporingsnummer allerede.

Om du har mottatt en talemelding vil meldingen komme fra telefonoperatøren din. Denne talemeldingen vil du kunne lytte på ved å gå inn på appen tilknyttet operatøren din, eller ved å ringe telefonnummeret til talepostkassen din. Vet du ikke nummeret, ta kontakt med din operatør. Hvis meldingen ser ut til å komme fra noen du kjenner, men du er i tvil, kan du ta kontakt med personen og høre om de har sendt deg en slik melding. 

Ta backup

Det er mye av det vi har på telefonen som er viktig for oss. Derfor bør du ha backup. Av bilder, videoer, opptak og annet du vet du vil ta vare på. Dette kan gjøres ved å bruke en skytjeneste. Som MinSky, Google Disk, iCloud, Dropbox med flere. Det finnes mange alternativer her.

Slett meldingen

Du kan trygt slette en slik melding, men du bør også blokkere nummeret SMSen kommer fra. Da vil du ikke motta meldinger, eller bli oppringt fra dette nummeret igjen.

Bare last ned apper fra Google Play

Apper som kan lastes ned utenfor Google Play er ikke gjennomgått av Google. Dermed er ikke appene sjekket som mulig skadevare. Her finnes det selvsagt unntak, men som en tommelfingerregel burde man kun bruke Google Play.

Antivirus

Ja, vi har faktisk kommet dit at man bør ha antivirus på telefonen. Det vil kunne søke gjennom filene på telefonen din etter kjente, skadelige filer. Som for eksempel en Flubot. Et utvalg av disse er Norton, McAffee og Bitfender. Når man kjøper et antivirusprogram får man ofte valget om å legge dette inn på flere enheter. Har du allerede et abonnement, bør du se om du har denne muligheten. Et antivirus beskytter ikke bare mot virus, men også mot annen skadevare, ID-tyveri og overvåking av din informasjon mot Dark Web.

Infisert telefon

Hvordan kan man finne ut om telefonen er infisert?

En Flubot forkler seg som en app og kan være vanskelig å oppdage. Det er to måter man kan finne ut om man har en slik app på telefonen.

Det ene er å klikke på appen. Hvis den ikke åpner seg og sier du ikke har tilgang til appen. Eller hvis du forsøker å avinstallere appen, men får også her beskjed om at du ikke har tilgang.

Om man skulle være så uheldig at man har fått installert en Flubot på mobilen, finnes det likevel håp.

Sett telefonen i flymodus slik at den ikke kan sende ut informasjon. Finn så ut hva appen heter. Hvis appen ikke kan slettes på vanlig måte vil man få beskjed om dette. Da må man restarte telefonen i sikker modus kan man slette appen. I sikker modus starter ikke telefonens tredjepartsapper, så det skal da være mulig å bli kvitt den..

(Følgende fremgangsmåte er testet på Samsung)

Dette gjør du ved å: 

• Hold inne telefonens På-knapp til ikonene for Slå av, Omstart og Nødmodus dukker opp
• Der det nå står Slå av, trykk og hold inne på dette symbolet
• Etter kort tid dukker det opp spørsmål om å starte telefonen i sikker modus
• Trykk på det grønne symbolet, så vil telefonen restartes i sikker modus
• Når telefonen har startet i sikker modus trekker du ned statuslinjen igjen
• Øverst til høyre vil du finne symbolet for innstillinger ⚙️
• Trykk på dette symbolet
• Bla nedover til du finner Apper
• I listen over apper ligger Fluboten som skal slettes
• Trykk på den og velg Slett nede til venstre
• Deretter kan du dra ned statuslinjen igjen og velge å avslutte Sikker modus

Under er en lenke til en Youtube-video som viser hvordan du kan sette telefonen i Sikker modus:

Tilbakestille telefonen

Om dette ikke virker er alternativet å tilbakestille telefonen. Om dette gjøres bør man da ikke bruke en sikkerhetskopi av telefonen fra tidligere, men kun tilbakestille helt til fabrikkinnstillinger. Da vil alt på telefonen slettes og man må sette opp telefonen på nytt. Sørg for at du har overført bilder, videoer, andre viktige filer. Dette kan også gjøres ved å koble telefonen til en PC. Viruset vil ikke infisere PCen din. Fluboten ligger i mappen Nedlastinger som en .APK fil, så ikke overfør den!!. Sjekk også om du har lagret alle kontaktene på simkortet eller i Google-kontoen din. Disse vil du da kunne få igjen når du setter opp telefonen på nytt.

For å tilbakestille telefonen gjør du følgende:

• Trekk ned statuslinjen og trykk på Innstillinger
• Bla ned til du finner Generell styring
• Bla ned til du finner Nullstill
• Trykk på Nullstill til fabrikkdata
• Telefonen starter på nytt og begynner installasjonsveiledningen
• Du kan trygt logge på med google-kontoen din, overføre kontakter og laste ned appene du har på Google Play
• Bilder og videoer kan nå overføres eller lastes ned fra skyløsningen du har backup på enten under eller etter nytt telefonoppsett

Etter tilbakestillingen bør du også bytte alle passordene du har lagret på telefonen. Fordi det er veldig sannsynlig at dine passord har havnet på avveie. For å sikre at du ikke mister kontoene, eller at de blir misbrukt, bør du bytte passord.

Mer informasjon

Telenors artikkel om Flubot:

https://www.telenor.no/privat/artikler/sikkerhet/dette-er-flubot/

Telias artikkel om Flubot:

https://www.telia.no/kundeservice/mobil/malware-flubot-android/

Bleeping Computers artikkel om Flubot (Engelsk):

https://www.bleepingcomputer.com/news/security/flubot-android-malware-targets-finland-in-new-sms-campaigns/