Forskere avslører deVixor, en Android-banktrojaner som stjeler bankdata via falske APK-er og WebView-injeksjoner, og låser skjermen mot 50 TRX i løsepenger.
© RusPhotoBank
Forskere innen cybersikkerhet varsler om en ny og farlig trussel for Android-brukere: banktrojaneren deVixor, som ikke bare tømmer kontoer, men også tyr til løsepengetaktikker.
Spesialister har identifisert over 700 varianter av skadevaren, og angrepene har pågått siden oktober 2025. deVixor spres via forfalskede nettsider som fremstår som sider for kjente bilmerker med «kupp»-tilbud. Besøkende blir bedt om å laste ned en APK, presentert som en app for å legge inn en bestilling eller få flere detaljer—en lokkebit som virker praktisk og uskyldig.
Når appen først er installert, legger trojaneren seg stille i systemet og går i gang, styrt via en kommandoplattform basert på Telegram. Den kommuniserer også med Firebase-servere for å motta instrukser og sende stjålne data—en kombinasjon som gjør avsløring og stans merkbart vanskeligere ved å lene seg på velkjente plattformer.
Hovedmålet er økonomisk tyveri. Skadevaren skanner SMS-meldinger på den kompromitterte enheten etter bankvarsler og engangskoder, og den samler inn kortnumre og kontosaldoer. Angriperne utnytter dessuten WebView og JavaScript-injeksjoner til å vise overbevisende falske bankskjemaer der ofrene uvitende skriver inn legitimasjonen sin.
Den mest urovekkende egenskapen er en innebygd utpressingsmodul. På kommando kan operatørene låse skjermen og vise et krav om kryptobetaling i TRON—50 TRX—til en bestemt adresse. Telefonen forblir utilgjengelig til kravet er oppfylt, og datatyveri utvikler seg til et regelrett pengepress.
Fremveksten av deVixor viser hvordan nettkriminelle stadig finpusser verktøyene sine og gjør angrepsplattformene mer fleksible og farligere. Eksperter råder Android-brukere til å granske hvor apper kommer fra og la være å installere APK-filer fra uverifiserte nettsteder—særlig når et tilbud virker for godt til å være sant.