Sikkerhet

Banktrojaner oppdaget i Norge – tusenvis har mottatt meldinger!

Vårt sikkerhetssenter melder nå om at de har sett spredning av en kjent banktrojaner i Norge. Minst 7000 nordmenn har mottatt en SMS med denne trojaneren, kjent under navnet Vultur. Og dessverre har nærmere 200 nordmenn allerede respondert på den falske meldingen de har mottatt.

Banktrojaner - SMS med mulig svindel

Dette er Vultur

Banktrojaneren kjent under navnet Vultur er nå oppdaget i Norge. Denne trojaneren gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, og laste opp og ned filer. Dette gir trusseloperatørene full kontroll over infiserte enheter.

Det hele starter med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Videre blir offeret bedt om å ta kontakt via telefon for å unngå ekstra kostnader. Når offeret ringer nummeret møtes de av en person som snakker godt svensk. Sannsynlig vil svindleren tilsynelatende gjøre alt for å hjelpe og sender en ny SMS med en lenke til dropperen, altså skadevaren, en modifisert versjon av McAfee Security-appen.

Den første SMS-meldingen forsøker å skape en falsk følelse av hastverk ved å be mottakeren ringe et nummer for å unngå inkasso på en ubetalt faktura.

Den neste interaksjonen, via en direkte samtale, vil ha brukeren til å innstallere trojaneren på enheten. Ved installasjon kjører den ondsinnede dropperen tre relaterte nyttelaster (payloads) som registrerer boten med C2-serveren, får tilgang til tjenester for fjernstyring via AlphaVNC og ngrok, og utfører kommandoer hentet fra C2-serveren.

I tillegg er denne malwaren utstyrt for å hindre ofrene fra å interagere med en forhåndsdefinert liste over apper, vise tilpassede varsler i statusfeltet, og til og med deaktivere Keyguard for å omgå sikkerhetstiltak for låseskjermen.

Sperret servere i Nettvern og SafeZone

Trojaneren kontakter sin kontroll-server på en av tre ulike adresser.

Disse har vi nå sperret via våre tjenester Nettvern og SafeZone. Slik at kunder med disse tjenestene fra oss vil bli hindret i å gå inn på falske nettsider og gi fra seg sensitiv informasjon, eller laste ned malware.

Les mer om SafeZone

Vi mener å tro at brukerne må svare ja på en del ganske kraftige sikkerhetsadvarsler, for at dropperen skal kunne installeres. Men svindlerne er sikkert flinke til å manipulere og vi vil tro de kan nå igjennom hos noen uheldige brukere. Trusselen retter seg sannsynligvis mot Android-brukere, men det kan hende trusselaktørene prøver seg på andre typer svindler, dersom brukerne ikke har Android. Slik var det for eksempel med Flubot, en annen kjent Malware spredt via SMS.

Vårt råd

Mottar du en slik melding er det tryggest å ignorere den. Blir du usikker, kan du forsøke å bekrefte at henvendelsen stemmer på en annen plattform, for eksempel direkte i nettbanken. Stemmer det virkelig at du har et utestående krav som kan sendes til inkasso?

Stopp. Tenk. Sjekk.  

Spesielt når henvendelsen haster, krever at du deler sensitive opplysninger eller vil ha deg til å laste ned noe på enheten din.

Vi har også sperret siden der selve Vultur-trojaneren lastes ned fra. Men siden bakmennene stadig skifter adresser, så er det viktig å ikke installere Android-apper fra andre steder enn googles play store.

Med tjenesten Oppdatert! fra Telenor kan du få opplæring og varsler om kjente og ukjente digitale sikkerhetstrusler, rett på mobilen, én gang per uke.

En smart måte å gjøre ansatte og bedriften tryggere på nett