Trend DK
Forside Teknologi Bankmalware bruger Androids hjælpefunktioner til at tømme konti: Ryd op...

Bankmalware bruger Androids hjælpefunktioner til at tømme konti: Ryd op i tilladelserne nu

Bankmalware bruger Androids hjælpefunktioner til at tømme konti: Ryd op i tilladelserne nu
Leveret af Trend

En ny trojaner ved navn Rokarolla har 217 bank- og kryptoapps på sigtekornet.

Bag skærmen på en helt almindelig Android-telefon kan der ligge en overset indstilling, som er kernen i næsten alle større bank-trojanere lige nu. Det gælder også den seneste af slagsen, som forskere ved sikkerhedsfirmaet Zimperium offentliggjorde i midten af juni 2026.

Skadesoftwaren rummer 137 fjernbetjeningskommandoer og kan blandt andet aflæse PIN-koden fra låseskærmen, læse og sende SMS-beskeder, slå Google Play Protect fra og skifte kryptovaluta-adresser ud i telefonens udklipsholder.

Rokarolla spredes via falske hjemmesider, der udgiver sig for at være populære apps som TikTok og Chrome. Downloades filen, installeres først en lille loader maskeret som Google Play Protect, som beder om adgang til hjælpefunktionerne. Bagefter henter den den egentlige trojaner ned.

Hjælpefunktioner er den røde tråd

Android-hjælpefunktioner, også kaldet accessibility services, er tænkt til blinde og svagtseende brugere, der har brug for at få skærmen læst højt eller styret automatisk. Men netop retten til at aflæse alt på skærmen og trykke på knapper er guld værd for kriminelle.

Rokarolla bruger tilladelsen til at lægge falske login-vinduer hen over rigtige bank-apps, opsnappe engangskoder fra SMS’er og logge hvert tastetryk. Trojaneren gør sig samtidig til standard SMS-app, så bankens advarsler kan blokeres, før de når frem til brugeren.

Overvågningen foregår uden det sædvanlige advarselsvindue om skærmoptagelse. I stedet tager malwaren skærmbilleder direkte via hjælpefunktionerne, komprimerer dem og sender dem videre til bagmændene ét billede ad gangen.

Google strammede skruen i marts

Problemet er langt fra nyt, og Google forsøger at lukke hullet. I marts 2026 udrullede selskabet nye regler i Android 17.2, som begrænser adgangen til hjælpefunktionerne, når den nye Advanced Protection Mode er slået til. Kun apps med et reelt tilgængelighedsformål må bruge grænsefladen, mens password-managers og automatisering afskæres.

Advanced Protection Mode har været tilgængelig siden Android 16 udkom i juni 2025 og er Googles svar på Apples Lockdown Mode. Ulempen er, at flere gængse apps mister funktionalitet, og at reglerne kun rammer nyere Android-versioner. Millioner af telefoner uden opdateringer eller uden funktionen slået til er fortsat sårbare, hvis brugeren har givet en tvivlsom app grønt lys.

Sådan rydder du selv op

Uden at vente på Google kan du selv gennemgå tilladelserne. På Android findes listen under IndstillingerTilgængelighed eller under AppsSærlig appadgangTilgængelighed. Klik ind på hver app på listen. Kender du den ikke, eller er det en app, du har fjernet, så slå tilladelsen fra med det samme.

En god tommelfingerregel er kun at hente apps fra Google Play, at lade Play Protect være aktiveret, og at afvise enhver ny anmodning om adgang til hjælpefunktioner, medmindre det giver åbenlys mening for appen. En tastaturapp eller en oplæsningsapp kan have brug for tilladelsen. Et spil eller en falsk opdaterings-app kan aldrig.

Tegn på infektion kan være flere login-vinduer i træk i din bank-app, tavshed fra telefonen selv når SMS-beskeder tikker ind, apps du ikke selv har installeret, eller en batteritid der falder markant. Sker det, så tag telefonen offline, log ind på netbanken fra en anden enhed og skift adgangskoderne, før du forsøger at fjerne den mistænkelige app.

Ads by MGDK