Eksperter advarer: Microsoft Phone Link brukes til å stjele SMS og engangskoder

Sikkerhetsforskere hos Cisco Talos har avdekket et angrep der hackere bruker Microsoft Phone Link til å hente ut tekstmeldinger og engangspassord direkte fra Windows-PC-er, helt uten å røre brukerens telefon. Funnene ble publisert 5. mai 2026 i en teknisk rapport fra forskerne Alex Karkins og Chetan Raghuprasad.

Angrepet kombinerer et fjernstyringsverktøy kalt CloudZ med en tidligere ukjent tilleggsmodul kalt Pheno. Sammen utnytter de at Phone Link speiler hele meldingshistorikken fra mobilen over på PC-en.

«CloudZ bruker det skreddersydde Pheno-tillegget til å kapre den etablerte broen mellom PC og telefon ved å misbruke Microsoft Phone Link», skriver Talos i sin gjennomgang. Aktiviteten er ifølge forskerne sporet tilbake til januar 2026, og det er foreløpig ikke knyttet noen kjent aktør til kampanjen.

Slik fungerer angrepet

Phone Link, som tidligere het «Din telefon», lar Windows-brukere lese SMS, ringe og se varsler fra Android-mobilen sin på datamaskinen. For at det skal fungere, lagrer programmet en lokal kopi av meldingene i en SQLite-database, altså en liten databasefil, på selve PC-en.

Det er nettopp denne filen angriperne er ute etter. Pheno-modulen leter etter prosesser med navn som «YourPhone», «PhoneExperienceHost» og «Link to Windows» for å avgjøre om en telefon faktisk er koblet til. Når den finner et aktivt oppsett, kan den lese databasen som inneholder SMS-historikken, opplyser sikkerhetsselskapet BleepingComputer.

Selve smitten starter med en falsk programvareoppdatering som utgir seg for å være fra fjernstyringsverktøyet ScreenConnect. Den slipper en lasterfil bygget i programmeringsspråket Rust, som så installerer CloudZ-trojaneren på maskinen, skriver The Hacker News.

Hvorfor det undergraver tofaktor

Mange banker, e-postleverandører og offentlige tjenester sender fortsatt engangskoder på SMS som ekstra sikkerhetslag. Selve poenget med en slik kode er at en angriper må ha både passordet og fysisk tilgang til mobilen for å logge inn.

Phone Link bryter denne logikken. Når SMS-en speiles til PC-en, holder det at angriperen kontrollerer datamaskinen. «Pheno er laget for å oppdage om en bruker for øyeblikket synkroniserer mobilenheten sin til en Windows-maskin gjennom Phone Link», skriver Talos i rapporten.

Cisco Talos har publisert deteksjonssignaturer for både ClamAV og Snort, slik at IT-avdelinger kan oppdage angrepet på egne nettverk.

Slik sjekker du koblingen og slår av SMS-synkronisering

For privatbrukere som vil redusere risikoen, er det noen enkle steg å gå gjennom. Microsoft beskriver fremgangsmåten i sin offisielle støtteartikkel om Phone Link.

For å se hvilke telefoner som er koblet til PC-en din, åpne Phone Link i Windows og gå til Innstillinger og videre til Enheter. Der ligger alle enheter som har tilgang til meldingene dine.

Vil du fjerne en kobling, velger du enheten og klikker Fjern. Du kan også gå via Innstillinger i Windows, deretter Bluetooth og enheter, Mobilenheter og Administrer enheter.

På selve Android-telefonen finner du appen «Link to Windows» under Innstillinger og Tilkoblede enheter. Trykk på Microsoft-kontoen og velg Logg av for å bryte forbindelsen helt.

Vil du beholde Phone Link, men droppe meldingsspeilingen, kan du fjerne SMS-tilgangen til appen «Link to Windows» under telefonens app-tillatelser. Det stopper synkroniseringen uten at du må fjerne enheten.

For brukere som ofte logger inn på sensitive tjenester, anbefaler sikkerhetsmiljøet uansett å bytte fra SMS-koder til en autentiseringsapp eller en fysisk sikkerhetsnøkkel. Sistnevnte regnes som motstandsdyktig mot phishing og slike speilingsangrep.