Trend DK
Forside Teknologi Disse Android-apps optager din skærm for at stjæle bankoplysninger: Sådan...

Disse Android-apps optager din skærm for at stjæle bankoplysninger: Sådan tjekker du om du er ramt

Disse Android-apps optager din skærm for at stjæle bankoplysninger: Sådan tjekker du om du er ramt
Leveret af Trend

En ny bølge Android-bankmalware streamer telefonens skærm live til bagmændene i det øjeblik brugeren logger ind.

Metoden er dokumenteret mod flere europæiske banker i løbet af det seneste år og fungerer fundamentalt anderledes end klassisk phishing. Hvor de traditionelle banktrojaner venter på kodeord og engangskoder i tekstformat, har den nye generation en direkte kanal ind til skærmbilledet, mens brugeren tapper på sin bank-app.

Kernen i angrebet er Androids indbyggede MediaProjection-API, altså det system, der normalt bruges til lovlige skærmoptagelses-apps. Sikkerhedsfirmaet Zimperium beskriver i en analyse af trojaneren PixRevolution fra marts 2026, hvordan koden opretter et virtuelt display, der spejler telefonens skærm, komprimerer hvert billede og sender det videre til en styreserver.

Menneske eller AI i den anden ende

Det er skiftet i selve angrebsmodellen, der gør trojanerne farlige. Ifølge Zimperiums forskere er det afgørende nye, at en operatør – enten et menneske eller en AI-agent – sidder klar i den fjerne ende og handler live, mens brugeren logger ind.

I praksis betyder det, at bagmændene kan vente på det øjeblik, hvor brugeren godkender en betaling, og først dér gribe ind, eksempelvis ved at ændre betalingens modtager. Det er en anden logik end klassisk phishing, hvor et falskt login-vindue narrer brugeren til at aflevere en adgangskode, som først senere bliver misbrugt.

Dokumenteret mod europæiske banker

I november 2025 offentliggjorde det hollandske sikkerhedsfirma ThreatFabric en analyse af trojaneren Sturnus, der bruger den samme skærmoptagelses-teknik mod banker i Syd- og Centraleuropa. Kombinationen af skærmoptagelse og adgang til Androids hjælpefunktioner betyder ifølge analysen, at end-to-end-krypteringen i WhatsApp, Telegram og Signal bliver ligegyldig i praksis, fordi Sturnus læser beskederne, når de vises på skærmen efter dekryptering.

En anden trojaner, Massiv, blev i februar 2026 afsløret udbredt via falske IPTV-apps i Spanien, Portugal, Frankrig og Tyrkiet. Og i maj 2026 dokumenterede ThreatFabric en ny udgave af Android-trojaneren TrickMo, der rammer bank-, fintech- og wallet-apps i Frankrig, Italien og Østrig, blandt andet via lokke-apps, der efterligner TikTok og distribueres på Facebook.

Ingen af analyserne peger på danske pengeinstitutter som direkte mål, men angrebsmetoden er den samme, uanset hvilken bank-app der ligger på telefonen. En dansk Android-bruger, der installerer en ukendt app fra en side uden om Google Play, er teoretisk lige så udsat som en spansk eller portugisisk.

Sådan tjekker du din telefon

De fleste af de trojanere, sikkerhedsforskerne har analyseret, installeres uden om Google Play, ofte via falske butiks-sider eller sideload-links delt på sociale medier. Zimperium peger på, at PixRevolution eksempelvis distribueres via kopier af Google Play-siden, hostet på angribernes egne domæner.

Det gennemgående mønster i analyserne er, at trojanerne kræver adgang til Androids hjælpefunktioner, det man i Android-menuen finder under “Tilgængelighed”, for overhovedet at fungere. Går man ind i telefonens indstillinger og finder en aktiv tilgængelighedstjeneste, man ikke selv har slået til, er det et rødt flag. Det samme gælder apps, man ikke selv har installeret, og apps med enhedsadministrator-rettigheder, man ikke kan gennemskue.

ThreatFabrics analyse af Sturnus nævner desuden uventet nedsat ydeevne, altså at telefonen bliver langsom eller varm uden åbenlys grund, som et af tegnene på, at en enhed kan være kompromitteret.

Konkret betyder det, at man som Android-bruger bør holde sig til apps fra Google Play, aldrig installere APK-filer sendt via sms, mail eller sociale medier, og med jævne mellemrum gennemgå listen over apps, der har tilgængeligheds-rettigheder på telefonen.

Ads by MGDK