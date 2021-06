Die FluBot-Malware hat die Schweiz erreicht. Bild: watson / Shutterstock

«Neue Voicemail» – das steckt hinter der SMS-Attacke auf Schweizer Handy-User

Die relativ neue Android-Malware FluBot hat die Schweiz erreicht. Kriminelle versuchen mittels «Smishing», Ahnungslose aufs Kreuz zu legen.

Was ist passiert?

Die Polizei warnt Schweizer Smartphone-Nutzerinnen und -Nutzer vor einer Phishing-Attacke per SMS. Beim sogenannten Smishing werden massenhaft gefährliche Kurznachrichten mit schädlichen Links oder Anhängen verschickt.

Ahnungslose Opfer sollen dazu gebracht werden, Malware auf ihrem Android-Gerät zu installieren. Dabei handelt es sich um die Schadsoftware FluBot, die es seit Ende 2020 gibt.

«Die Betrüger übernehmen die Kontrolle über den SMS-Versand des Handys. Sie verschicken dann in grosser Zahl SMS auf Kosten des Opfers an weitere potenzielle Opfer. Dazu nutzen sie die Kontaktdaten des Handys.» quelle: cybercrimepolice.ch

Keine neue Sprachnachricht, sondern ein Link, der Neugierige übertölpeln soll! bild: cybercrimepolice.ch

Wer den Link anklickt, soll eine «Voicemail-App herunterladen» screenshot: securityblog.switch.ch

Was ist das für eine Schadsoftware?

FluBot ist eine relativ neue Android-Malware, die erstmals im Dezember 2020 entdeckt wurde.

Es handelt sich um einen Trojaner, der auch als Cabassous bekannt und inzwischen weltweit aktiv ist. Opfer erhalten zunächst eine SMS mit einem Link zu einer URL, über die sie eine APK-Datei (das Kürzel steht für «Android Package») aufrufen sollen. Die Installation erfolgt dann per Sideloading.

Sobald die Malware auf dem Handy installiert ist, wird das Gerät zu einem sogenannten Botnet hinzugefügt. Das heisst, Kriminelle können die Malware mit einem «Command and Control Server» (C&C Server) übers Internet fernsteuern.

Zwecks Weiterverbreitung greift FluBot die im Adressbuch des Opfers gespeicherten Kontaktdaten ab. Die Kriminellen wollen aber in erster Linie ans Geld der Ahnungslosen.

«Beobachtet wurden auch SMS an teure Destinationen und kostenpflichtige Premiumnummern. Ausserdem blendet FluBot Masken über Kreditkartenzahlapps ein und versucht die persönlichen Daten des Opfers abzugreifen.» quelle: cybercrimepolice.ch

Zunächst wurde FluBot von Kriminellen in Spanien, Ungarn und Polen verbreitet. Inzwischen wurden aber Spam-Attacken in praktisch allen europäischen Ländern registriert.

In Deutschland grassierte FluBot schon Anfang Juni, und dies mit grossem «Erfolg», wie T-Online berichtete. Die Kriminellen tarnten den Banking-Trojaner als «DHL Express»-App und jubelten diese den Android-Nutzerinnen und -Nutzern mit Hilfe von falschen Paket-Benachrichtigungen unter.

Am 18. Juni wurde FluBot in der Version 4.6 gesichtet, der eine Konfiguration für die Schweiz hinzugefügt war. Am 19. Juni warnten die IT-Sicherheitsexperten von Switch in einem Blog-Beitrag, dass aktiv Spam über SMS versendet werde.

Wie kann man sich schützen?

Weil Apple bei seinem iPhone-Betriebssystem keine App-Installationen ausserhalb des App Stores zulässt, sind iPhone-Nutzerinnen und -Nutzer nicht direkt in Gefahr. Das sogenannte Side-Loading ist bei Android möglich (sowie bei iPhones, auf denen ein Jailbreak durchgeführt wurde).

Android-Nutzerinnen und -Nutzer müssen darauf achten, dass sie Apps nur aus dem offiziellen Google Play Store beziehen. In den Sicherheits-Einstellungen des Smartphones können sie zudem festlegen, dass Apps aus «unbekannter Quelle» (oder «unbekannte Herkunft») nicht installiert werden dürfen. Die Internetkriminellen versuchen allerdings, ihre Opfer dazu zu bringen, diese Einstellung rückgängig zu machen.

Wenn es sich bei dem Empfängergerät nicht um ein Android-Gerät handle oder die Kriminellen die Schadsoftware zu diesem Zeitpunkt nicht weiter verbreiten wollen, leite die URL beim Aufrufen auf eine Betrugs-Website um.

Wer auf ein solches Spam-SMS hereingefallen ist und die Malware auf dem eigenen Mobilgerät installiert hat, sollte es auf die Werkseinstellungen zurücksetzen und den Mobilfunkanbieter in Kenntnis setzen, rät die Zürcher Polizei.

Quellen

