Rik Ferguson plockar upp sin mobiltelefon och skickar några enkla sms till en annan lur. Genom messen har han kapat den andra mobilen, som nu spelar in ljud, tar hand om sms och skickar dem vidare – utan att den som äger telefonen ser det.

Det är tur att Rik Ferguson arbetar åt ett säkerhetsföretag. Men hans demonstration går ut på att visa hur enkelt det är att råka ut för elak kod och dess effekter. Elak kod är ett samlingsnamn för virus och programkod skapad för att orsaka skada.

Det kan räcka med att ladda hem ett roligt spel för att få in koden i mobilen. Effekterna kan vara allt från att kriminella planterar appar som omärkligt ringer upp dyra betalsamtal till att utnyttja luren som en språngbräda för att komma åt företagshemligheter.

– Det var med de första smarta telefonerna som elak kod började dyka upp, säger Rik Ferguson.

Metoderna att sprida elak kod kan vara riktigt luriga. Största risken löper de androidbaserade lurarna. Operativsystemet Android är vanligt, runt varannan smart telefon använder systemet, och lätt att angripa. Apples Iphone är långt säkrare, om inte spärren att ladda program enbart från Appstore plockats bort.

Det är oftast vi användare som öppnar dörren för attackerna.

– Allt är öppet. Systemet, telefonens mjukvara och var man kan hämta program.

Största nedladdningsplatsen är Google Play (som tidigare hette Android Market) men den är inte helt säker. Det har förekommit att kriminella har byggt in elak kod i kommersiella program och lagt upp dem igen på Google Play, säger Rik Ferguson.

Rik Ferguson berättar om ett exempel: Det var en variant av det populära spelet ”Angry birds” som uppgavs komma från ”Rovio mobile ltd”, en riktig utgivare. Det var bara det att i just denna version var bokstaven l i ordet ”mobile” i själva verket en etta. Utgivaren var en annan och programmet hade manipulerats och försetts med elak kod.

– För användaren gäller att grans-ka utgivaren. Hur många kommentarer det finns, och vad folk anser om programmet. Har det legat ute länge?

Kommentarerna syns på Google Play i samband med möjligheten att hämta hem appen. Där kan man också granska vad den nedladdade appen tillåts göra. Ofta kräver apparna tillgång till vissa systemfunktioner helt i onödan.

Enligt Rik Ferguson gör utvecklingen att företag måste fundera på vem som ska ha vilken telefon.

– En extra risk är att det blivit allt vanligare att anställda använder sin egen mobil i företagssammanhang.

Personer på de känsligaste posterna bör ha de säkraste lurarna, i dag är det Blackberry. Dessutom måste man ha koll på vad användarna tillåts göra, menar Rik Ferguson.

Det finns antivirusprogram till telefoner, men de används inte alls i lika hög grad som i vanliga datorer. Dessutom är flera av säkerhetsprogrammen ganska dåliga, enligt flera tester bland annat utförda av tidningen Computerworld och IT-sajten Esecurity Planet. Några av de provade gratisalternativen lyckades bara hitta runt en tiondel av den skadliga kod som ingick i testerna.

Enligt branschen kommer hoten inte att bli färre. Rik Ferguson uppskattar antalet varianter av elak kod, inbakad i appar, till runt 120 000 mot slutet av 2012.
Även botnets, alltså osynligt utnyttjande av en stor mängd datorer för olika syften som till exempel massattacker mot företag och myndigheter, har börjat dyka upp på telefonsidan.

– Vi uträttar allt mer på telefonen, och är uppkopplade till internet under längre tid än via våra vanliga datorer. Detta vet skurkarna och då siktar de in sig allt mer på telefonerna. Problemen kommer bara att öka, suckar Rik Ferguson.
Hur stora är problemen då? Ingen vet säkert. I januari rensade Google bort 13 infekterade appar. Appar som hade laddats ned av runt 5 miljoner användare.