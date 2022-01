I fjor høst rapporterte Digi.no om en Android-skadevare kalt Grifthorse, som fungerer ved å svindle til seg penger fra ofre gjennom abonnementer på «premium»-tjenester som startes uten brukernes kjennskap og samtykke.

Det samme sikkerhetsselskapet som advarte mot Grifthorse omtaler nå en ny Android-skadevare med den samme funksjonaliteten – og denne gangen dreier det seg om et langt høyere antall ofre.

Norden rammet

På bloggen sin redegjør sikkerhetsselskapet Zimperium for en skadevare de har døpt Dark Herring, som skal ha blitt lastet ned av hele 105 millioner Android-brukere fordelt på 70 land.

Ifølge Zimperium har den nordiske regionen – som altså inkluderer Norge – den høyeste risikoen for infeksjoner.

Dark Herring-skadevaren skal ha spredt seg via et høyt antall applikasjoner på Google Play. Zimperium har identifisert så mange som 470 Android-apper som bakmennene har brukt til å skjule programvaren. Disse ble publisert på Google Play fra mars 2020 frem til november i fjor.

– Dark Herring-applikasjonene utgjør en risiko for alle Android-enheter ved å fungere som svindelvare som starter abonnementer på betalte tjenester, med en gjennomsnittlig månedspris på 15 dollar per måned, skriver Zimperium. 15 dollar tilsvarer cirka 135 norske kroner.

De ondsinnede applikasjonene skal ha vært vanskelige å fange opp, da de har en tilsynelatende legitim funksjonalitet og beskrivelse/tillatelsespraksis på Google Play som ikke uten videre gir grunn til mistanke.

Utnytter DCB-løsningen

Zimperium presiserer at Google i skrivende stund skal ha fjernet de ondsinnede applikasjonene fra appbutikken, men at mange av dem fremdeles er tilgjengelige via andre tredjepartskilder.

Dark Herring fungerer ved at den først kommuniserer med en C&C-server og eksponerer brukerens IP-adresse umiddelbart etter infeksjonen. Basert på hvor IP-adressen hører hjemme videresender skadevaren brukeren til en nettside som benytter brukerens eget språk, hvor vedkommende bes om å oppgi telefonnummer for verifisering.

Telefonnummeret sendes imidlertid til en DCB-tjeneste (Direct Carrier Billing) som belaster brukerens mobilregning. DCB er en løsning som lar brukere betale for produkter og tjenester gjennom den vanlige mobilregningen, og er spesielt utbredt i nettopp den nordiske regionen.

Zimperium sier at denne svindelmetoden er ekstra effektiv fordi brukere er mer tilbøyelige til å legge igjen personlige data på nettsider som bruker deres eget språk. I tillegg tar svindelen som regel lang tid å oppdage, dersom den i det hele tatt oppdages, siden summene man svindles for er bakt inn i mobilregningen. Det finnes også få eller ingen måter å få igjen pengene på.

Flere detaljer kan du finne i Zimperiums egen rapport.