Digital
Schweiz

«Neue Voicemail» – das steckt hinter der SMS-Attacke auf Handy-User

Woman typing text message on smart phone in a cafe. Cropped image of young woman sitting at a table with a coffee using mobile phone.
Die FluBot-Malware hat die Schweiz erreicht. iPhone-Usern droht keine direkte Gefahr.Bild: watson / Shutterstock

«Neue Voicemail» – das steckt hinter der SMS-Attacke auf Schweizer Handy-User

Die relativ neue Android-Malware FluBot hat die Schweiz erreicht. Kriminelle versuchen mittels «Smishing», Ahnungslose aufs Kreuz zu legen.
21.06.2021, 18:3228.06.2021, 15:32
Mehr «Digital»

Was ist passiert?

Die Polizei warnt Schweizer Smartphone-Nutzerinnen und -Nutzer vor einer Phishing-Attacke per SMS. Beim sogenannten Smishing werden massenhaft gefährliche Kurznachrichten mit schädlichen Links oder Anhängen verschickt.

Ahnungslose Opfer sollen dazu gebracht werden, Malware auf ihrem Android-Gerät zu installieren. Dabei handelt es sich um die Schadsoftware FluBot, die es seit Ende 2020 gibt.

«Die Betrüger übernehmen die Kontrolle über den SMS-Versand des Handys. Sie verschicken dann in grosser Zahl SMS auf Kosten des Opfers an weitere potenzielle Opfer. Dazu nutzen sie die Kontaktdaten des Handys.»
quelle: cybercrimepolice.ch
Keine neue Sprachnachricht, sondern ein Link, der Neugierige übertölpeln soll!
Keine neue Sprachnachricht, sondern ein Link, der Neugierige übertölpeln soll!bild: cybercrimepolice.ch

Wer den Link anklickt, soll eine «Voicemail-App herunterladen»

Bild
screenshot: securityblog.switch.ch

Was ist das für eine Schadsoftware?

FluBot ist eine relativ neue Android-Malware, die erstmals im Dezember 2020 entdeckt wurde.

Es handelt sich um einen Trojaner, der auch als Cabassous bekannt und inzwischen weltweit aktiv ist. Opfer erhalten zunächst eine SMS mit einem Link zu einer URL, über die sie eine APK-Datei (das Kürzel steht für «Android Package») aufrufen sollen. Die Installation erfolgt dann per Sideloading.

Sobald die Malware auf dem Handy installiert ist, wird das Gerät zu einem sogenannten Botnet hinzugefügt. Das heisst, Kriminelle können die Malware mit einem «Command and Control Server» (C&C Server) übers Internet fernsteuern.

Zwecks Weiterverbreitung greift FluBot die im Adressbuch des Opfers gespeicherten Kontaktdaten ab. Die Kriminellen wollen aber in erster Linie ans Geld der Ahnungslosen.

«Beobachtet wurden auch SMS an teure Destinationen und kostenpflichtige Premiumnummern. Ausserdem blendet FluBot Masken über Kreditkartenzahlapps ein und versucht die persönlichen Daten des Opfers abzugreifen.»
quelle: cybercrimepolice.ch

Zunächst wurde FluBot von Kriminellen in Spanien, Ungarn und Polen verbreitet. Inzwischen wurden aber Spam-Attacken in praktisch allen europäischen Ländern registriert.

In Deutschland grassierte FluBot schon Anfang Juni, und dies mit grossem «Erfolg», wie T-Online berichtete. Die Kriminellen tarnten den Banking-Trojaner als «DHL Express»-App und jubelten diese den Android-Nutzerinnen und -Nutzern mit Hilfe von falschen Paket-Benachrichtigungen unter.

Am 18. Juni wurde FluBot in der Version 4.6 gesichtet, der eine Konfiguration für die Schweiz hinzugefügt war. Am 19. Juni warnten die IT-Sicherheitsexperten von Switch in einem Blog-Beitrag, dass aktiv Spam über SMS versendet werde.

Wie kann man sich schützen?

Weil Apple bei seinem iPhone-Betriebssystem keine App-Installationen ausserhalb des App Stores zulässt, sind iPhone-Nutzerinnen und -Nutzer nicht direkt in Gefahr. Das sogenannte Side-Loading ist bei Android möglich (sowie bei iPhones, auf denen ein Jailbreak durchgeführt wurde).

Android-Nutzerinnen und -Nutzer müssen darauf achten, dass sie Apps nur aus dem offiziellen Google Play Store beziehen. In den Sicherheits-Einstellungen des Smartphones können sie zudem festlegen, dass Apps aus «unbekannter Quelle» (oder «unbekannte Herkunft») nicht installiert werden dürfen. Die Internetkriminellen versuchen allerdings, ihre Opfer dazu zu bringen, diese Einstellung rückgängig zu machen.

Wenn es sich bei dem Empfängergerät nicht um ein Android-Gerät handle oder die Kriminellen die Schadsoftware zu diesem Zeitpunkt nicht weiter verbreiten wollen, leite die URL beim Aufrufen auf eine Betrugs-Website um.

Wer auf ein solches Spam-SMS hereingefallen ist und die Malware auf dem eigenen Mobilgerät installiert hat, sollte es auf die Werkseinstellungen zurücksetzen und den Mobilfunkanbieter in Kenntnis setzen, rät die Zürcher Polizei.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Du willst Bitcoin kaufen? Dann schau zuerst dieses Video
Video: watson
Das könnte dich auch noch interessieren:
25 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Toerpe Zwerg
21.06.2021 20:47registriert Februar 2014
Voice Nachricht in besonders hoher Qualität ... ähä
472
Melden
Zum Kommentar
avatar
ch.vogel
21.06.2021 20:30registriert Mai 2014
Bei Apps aus "unbekannten Quellen" muss man aber doch trotzdem zuerst noch die ganzen Berechtigungen erteilen (Zugriff auf Kontakte, Zugriff auf Telefon/SMS-Funktion, etc...)?

Gut, wer schon eine App aus unbekannter Quelle herunterlädt und trotz Warnung installiert, der akzeptiert wohl auch alle angefragten Berechtigungen...
421
Melden
Zum Kommentar
avatar
AltiSchachtle
21.06.2021 19:49registriert November 2020
Ich habe ebenfalls bereits 2 solcher SMS erhalten. 1 x mit einer Sunrise Vorwahl und 1 x mit Swisscom.

Danke für die Info.
371
Melden
Zum Kommentar
25
Nach Shitstorm: Bundesrat verzichtet auf Gratis-Skipass

Der Bundesrat verzichtet ab 2025 auf Abonnemente der Seilbahnen Schweiz. Bereits 2024 liess er sich die diese in Rechnung stellen. Bis Ende 2023 hatte er sie gratis erhalten. Am unentgeltlichen SBB-Generalabonnement 1. Klasse hält er aber fest.

Zur Story