DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Das steckt hinter den merkwürdigen Voicemail-SMS, die gerade Tausende Schweizer erhalten

Aktuell erhalten Schweizer Handy-User massenhaft Kurznachrichten mit schädlichen Links. Kriminelle versuchen, ahnungslose Opfer zur Installation eines E-Banking-Trojaners zu verführen.
15.10.2021, 12:3817.10.2021, 16:49

Der brandgefährliche Android-Trojaner FluBot ist zurück. Kriminelle greifen derzeit gezielt Schweizer Handy-Nutzerinnen und Nutzer an. Hierzu versenden sie massenhaft Spam-SMS an hiesige Mobilfunknummern. In den Kurznachrichten ist jeweils von einem verpassten Anruf, beziehungsweise einer Sprachnachricht die Rede, die man abhören könne.

So gelangt der Trojaner auf Smartphones

Diese Spam-SMS erhalten aktuell Tausende Schweizer

Die Betrüger hatten offenbar keine Tastatur mit deutschen Sonderzeichen zur Hand ;)
Die Betrüger hatten offenbar keine Tastatur mit deutschen Sonderzeichen zur Hand ;)bild: watson

Um die Sprachnachricht abzuhören, solle man den Link in der SMS öffnen

Die Betrüger bräuchten dringend einen Deutschkurs und der Link ist mehr als verdächtig...
Die Betrüger bräuchten dringend einen Deutschkurs und der Link ist mehr als verdächtig...bild: watson

Auf der geöffneten Webseite, die vermeintlich vom eigenen Mobilfunkprovider stammt, wird man aufgefordert, eine neue Voicemail-App zu installieren

Da die Sprachnachricht in einem «hochwertigen Format» vorliege, könne man sie nur mit einer neuen Voicemail-App hören. (Humor haben die Ganoven!)
Da die Sprachnachricht in einem «hochwertigen Format» vorliege, könne man sie nur mit einer neuen Voicemail-App hören. (Humor haben die Ganoven!) bild: watson

Auf Android-Geräten wird das Opfer aufgefordert, die Datei Voicemail.apk zu installieren

Firmen wie Sunrise würden eine neue App immer in Googles Play Store anbieten (und allenfalls in den App-Stores von Samsung, Huawei etc.), aber nie über eine .apk-Datei verteilen.
Firmen wie Sunrise würden eine neue App immer in Googles Play Store anbieten (und allenfalls in den App-Stores von Samsung, Huawei etc.), aber nie über eine .apk-Datei verteilen.bild: cybercrimepolice

Android blockiert die Installation von Apps aus unbekannten Quellen. Nutzerinnen und Nutzer haben allerdings die Möglichkeit, diesen Schutzmechanismus manuell zu umgehen. Dies ist grundsätzlich sinnvoll, da die User stets die Möglichkeit haben sollen, Apps aus alternativen App-Stores, bzw. von vertrauenswürdigen Webseiten zu installieren. So funktioniert nun mal ein offenes und freies Internet. Allerdings machen sich die Kriminellen genau dies zunutze und versuchen ihre Opfer dazu zu verleiten, den Schutzmechanismus selbst ausser Kraft zu setzen.

Den Opfern wird also vorgegaukelt, sie müssten eine neue Voicemail-App von der Webseite ihres Mobilfunkproviders herunterladen. Tatsächlich aber handelt es sich um einen gefährlichen E-Banking-Trojaner. Grund zur Panik gibt es dennoch nicht: Wer sich an die offiziellen App-Stores von Google, Samsung, Huawei oder anderen vertrauenswürdigen Anbietern hält, kann sich den E-Banking-Trojaner nicht einfangen.

Da die Malware auf iOS-Geräten nicht installiert werden kann, leitet die URL iPhone-User beim Aufrufen auf betrügerische Phishing- und Werbewebseiten weiter. Dort lauern Abofallen, Angebote für dubiose Geldanlagen oder andere Schadsoftware.

Ist die Schadsoftware installiert, wird die betrügerische App «Voicemail» als Standard-SMS-App eingerichtet (sofern das Opfer der Betrugs-App die nötigen Berechtigungen erteilt)

Ist der als Voicemail-App getarnte Trojaner installiert, übernehmen die Kriminellen die Kontrolle über das Gerät

bild: switch

Darum ist der Trojaner gefährlich

Bei der Schadsoftware handelt es sich um den Trojaner FluBot, den es seit Ende 2020 gibt. Die Malware greift Namen und Telefonnummern der Kontakte im Adressbuch, SMS, Kredit- und Bankdaten sowie andere private Informationen ab.

FluBot wurde in der Schweiz erstmals im Juni dieses Jahres in grösserem Stil beobachtet. Die Kantonspolizei Zürich warnte Android-User damals wie folgt:

«Die Betrüger übernehmen die Kontrolle über den SMS-Versand des Handys. Sie verschicken dann in grosser Zahl SMS auf Kosten des Opfers an weitere potenzielle Opfer. Dazu nutzen sie die Kontaktdaten des Handys.

Beobachtet wurden auch SMS an teure Destinationen und kostenpflichtige Premiumnummern. Ausserdem blendet FluBot Masken über Kreditkartenzahlapps ein und versucht die persönlichen Daten des Opfers abzugreifen.

Ausserdem fängt sie Eingaben bei Biance, Coinbase, Blockchain.com Wallet, und Gmail ab.»
KAPO Zürichcybercrimepolice

Zwecks Weiterverbreitung greift FluBot die im Adressbuch des Opfers gespeicherten Kontaktdaten ab. Die Kriminellen wollen aber in erster Linie ans Geld der Ahnungslosen. Hierzu fängt der Trojaner Eingaben in Apps wie E-Banking, Kreditkartenformularen, Bitcoin-Wallets oder auch wichtigen E-Mail-Apps wie Gmail ab.

Der Trojaner blendet Masken über Kreditkartenzahlapps oder auch Gmail ein und versucht die persönlichen Daten des Opfers abzugreifen

Wer sein Passwort hier eintippt, übermittelt es direkt den Kriminellen.
Wer sein Passwort hier eintippt, übermittelt es direkt den Kriminellen.bild: switch

Darum verbreitet sich der Trojaner rasant

Die Kriminellen verbreiten den Trojaner vermutlich zunächst über SMS-Wegwerfnummern, die einen Schweizer Absender vortäuschen. Gelingt es FluBot, sich auf Smartphones einzunisten, verbreitet er sich wurmartig weiter, indem er weitere betrügerische Spam-SMS an die Kontakte im Adressbuch sendet. Da die SMS aus Sicht der Empfängerinnen und Empfänger von einer bekannten Nummer kommt, steigt das Risiko, dass weitere Opfer auf die Masche hereinfallen. Zum Teil enthalten die Betrugs-SMS gar eine persönliche Anrede. Das weckt zusätzlich Vertrauen und erhöht das Risiko, dass weitere Geräte mit Malware infiziert werden.

Ausserdem ist FluBot so konzipiert, dass es für Mobilfunkprovider schwierig ist, seine Verbreitung vollständig zu blockieren, wie die IT-Sicherheitsexperten von Switch in einem Blog-Beitrag erklären. Werden die Spam-SMS gemeldet, kann der Zugriff auf die bösartigen Webseiten aber relativ rasch von den Providern blockiert werden. Ausserdem werden die Spam-SMS so von Google erkannt und mit einer Warnung versehen.

Da die aktuelle Spam-Welle bei den Providern inzwischen bekannt ist, werden verdächtige SMS mit einer Warnung versehen

Die Provider blockieren die schädlichen Links, sobald eine neue Angriffswelle entdeckt wird, aber die Kriminellen sind erfahrungsgemäss spätestens nach ein paar Wochen zurück.
Die Provider blockieren die schädlichen Links, sobald eine neue Angriffswelle entdeckt wird, aber die Kriminellen sind erfahrungsgemäss spätestens nach ein paar Wochen zurück.bild: watson

Der FluBot-Trojaner ist in diversen Ländern aktiv. Die Kriminellen versuchen die Handy-User mit immer neuen Tricks zu überlisten. Neuerdings gibt sich der Trojaner beispielsweise gar als Sicherheits-Update für Android aus. Dabei warnt FluBot die User vor einer angeblichen Infektion mit einem Trojaner. Wer das angebliche Sicherheits-Update installiert, fängt sich den Trojaner ein.

Warum haben die Betrüger meine Handy-Nummer?

Hat der Trojaner in einem Land eine gewisse Verbreitung erreicht, ist es wahrscheinlich, dass er von einem anderen infizierten Mobiltelefonen aus verschickt wurde. Die Handy-Nummer und weitere Informationen wie der Name oder die Wohnadresse können auch aus früheren Datenlecks bei Facebook, LinkedIn, Clubhouse etc. stammen. Denkbar wäre zudem, dass die Kriminellen zufällig Schweizer Mobilfunknummern generieren und massenhaft durchprobieren.

Was sollte man tun, wenn man solche Spam-SMS erhält?

  • SMS löschen oder ignorieren
  • Allenfalls dem Nationalen Zentrum für Cybersicherheit (NCSC) melden. Das Meldeformular ist auf der Webseite des NCSC zu finden.

Was können Opfer tun?

Die Polizei rät:

  • Setzen Sie das Handy auf Werkseinstellungen zurück
  • Informieren Sie Ihren Mobilanbieter
  • Lassen Sie Ihre Kreditkarte sperren und bestellen Sie eine neue
  • Ändern Sie Ihre Zugangsdaten zu den von Ihnen genutzten Kryptowährungs-Bezahldienste von einem anderen Gerät aus
  • Wenn Sie Gmail nutzen, dann ändern Sie die Zugangsdaten von einem anderen Gerät aus
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Vergangene Woche rollte eine massive Malware-Welle über die Schweiz – das steckt dahinter
Kriminelle verschickten in der letzten Woche massenhaft Spam-SMS an Schweizer Handy-User. Sie haben es auf E-Banking-Nutzer abgesehen. Die neue Angriffswelle war rekordverdächtig gross, richtete aber kaum Schaden an.

In der vergangenen Woche ist die Anzahl gemeldeter Cybervorfälle in der Schweiz explodiert. Grund dafür ist unter anderem eine massive Spam-SMS-Welle, die am 12. Oktober begann und mehrere Tage anhielt. Kriminelle verschickten massenhaft betrügerische SMS an hiesige Mobilfunknummern. Sie versuchten so Android-Usern den gefährlichen E-Banking-Trojaner FluBot unterzujubeln, iOS-User sollten auf betrügerische Webseiten gelockt werden.

Die relativ neue Schadsoftware FluBot ist potenziell äussert gefährlich, da sie beispielsweise beim E-Banking die von der Bank verschickte SMS mit dem Sicherheits-Code abfangen kann. Der Trojaner hebelt somit den zusätzlichen Schutz der Zwei-Faktor-Authentifizierung aus, sofern sich das Opfer per SMS-Code anmeldet. Mobile-Trojaner wie FluBot werden daher von Kriminellen auch genutzt, um E-Mail-Konten und Bitcoin-Wallets zu knacken oder Eingaben in Kreditkartenformularen abzugreifen.

Zur Story