Digital
Schweiz

Das steckt hinter den Spam-SMS, die gerade Tausende Schweizer erhalten

Das steckt hinter den merkwürdigen Voicemail-SMS, die gerade Tausende Schweizer erhalten

Aktuell erhalten Schweizer Handy-User massenhaft Kurznachrichten mit schädlichen Links. Kriminelle versuchen, ahnungslose Opfer zur Installation eines E-Banking-Trojaners zu verführen.
15.10.2021, 12:3817.10.2021, 16:49
Mehr «Digital»

Der brandgefährliche Android-Trojaner FluBot ist zurück. Kriminelle greifen derzeit gezielt Schweizer Handy-Nutzerinnen und Nutzer an. Hierzu versenden sie massenhaft Spam-SMS an hiesige Mobilfunknummern. In den Kurznachrichten ist jeweils von einem verpassten Anruf, beziehungsweise einer Sprachnachricht die Rede, die man abhören könne.

So gelangt der Trojaner auf Smartphones

Diese Spam-SMS erhalten aktuell Tausende Schweizer

Die Betrüger hatten offenbar keine Tastatur mit deutschen Sonderzeichen zur Hand ;)
Die Betrüger hatten offenbar keine Tastatur mit deutschen Sonderzeichen zur Hand ;)bild: watson

Um die Sprachnachricht abzuhören, solle man den Link in der SMS öffnen

Die Betrüger bräuchten dringend einen Deutschkurs und der Link ist mehr als verdächtig...
Die Betrüger bräuchten dringend einen Deutschkurs und der Link ist mehr als verdächtig...bild: watson

Auf der geöffneten Webseite, die vermeintlich vom eigenen Mobilfunkprovider stammt, wird man aufgefordert, eine neue Voicemail-App zu installieren

Da die Sprachnachricht in einem «hochwertigen Format» vorliege, könne man sie nur mit einer neuen Voicemail-App hören. (Humor haben die Ganoven!)
Da die Sprachnachricht in einem «hochwertigen Format» vorliege, könne man sie nur mit einer neuen Voicemail-App hören. (Humor haben die Ganoven!) bild: watson

Auf Android-Geräten wird das Opfer aufgefordert, die Datei Voicemail.apk zu installieren

Firmen wie Sunrise würden eine neue App immer in Googles Play Store anbieten (und allenfalls in den App-Stores von Samsung, Huawei etc.), aber nie über eine .apk-Datei verteilen.
Firmen wie Sunrise würden eine neue App immer in Googles Play Store anbieten (und allenfalls in den App-Stores von Samsung, Huawei etc.), aber nie über eine .apk-Datei verteilen.bild: cybercrimepolice

Android blockiert die Installation von Apps aus unbekannten Quellen. Nutzerinnen und Nutzer haben allerdings die Möglichkeit, diesen Schutzmechanismus manuell zu umgehen. Dies ist grundsätzlich sinnvoll, da die User stets die Möglichkeit haben sollen, Apps aus alternativen App-Stores, bzw. von vertrauenswürdigen Webseiten zu installieren. So funktioniert nun mal ein offenes und freies Internet. Allerdings machen sich die Kriminellen genau dies zunutze und versuchen ihre Opfer dazu zu verleiten, den Schutzmechanismus selbst ausser Kraft zu setzen.

Den Opfern wird also vorgegaukelt, sie müssten eine neue Voicemail-App von der Webseite ihres Mobilfunkproviders herunterladen. Tatsächlich aber handelt es sich um einen gefährlichen E-Banking-Trojaner. Grund zur Panik gibt es dennoch nicht: Wer sich an die offiziellen App-Stores von Google, Samsung, Huawei oder anderen vertrauenswürdigen Anbietern hält, kann sich den E-Banking-Trojaner nicht einfangen.

Da die Malware auf iOS-Geräten nicht installiert werden kann, leitet die URL iPhone-User beim Aufrufen auf betrügerische Phishing- und Werbewebseiten weiter. Dort lauern Abofallen, Angebote für dubiose Geldanlagen oder andere Schadsoftware.

Ist die Schadsoftware installiert, wird die betrügerische App «Voicemail» als Standard-SMS-App eingerichtet (sofern das Opfer der Betrugs-App die nötigen Berechtigungen erteilt)

Bild

Ist der als Voicemail-App getarnte Trojaner installiert, übernehmen die Kriminellen die Kontrolle über das Gerät

Bild
bild: switch

Darum ist der Trojaner gefährlich

Bei der Schadsoftware handelt es sich um den Trojaner FluBot, den es seit Ende 2020 gibt. Die Malware greift Namen und Telefonnummern der Kontakte im Adressbuch, SMS, Kredit- und Bankdaten sowie andere private Informationen ab.

FluBot wurde in der Schweiz erstmals im Juni dieses Jahres in grösserem Stil beobachtet. Die Kantonspolizei Zürich warnte Android-User damals wie folgt:

«Die Betrüger übernehmen die Kontrolle über den SMS-Versand des Handys. Sie verschicken dann in grosser Zahl SMS auf Kosten des Opfers an weitere potenzielle Opfer. Dazu nutzen sie die Kontaktdaten des Handys.

Beobachtet wurden auch SMS an teure Destinationen und kostenpflichtige Premiumnummern. Ausserdem blendet FluBot Masken über Kreditkartenzahlapps ein und versucht die persönlichen Daten des Opfers abzugreifen.

Ausserdem fängt sie Eingaben bei Biance, Coinbase, Blockchain.com Wallet, und Gmail ab.»
KAPO Zürichcybercrimepolice

Zwecks Weiterverbreitung greift FluBot die im Adressbuch des Opfers gespeicherten Kontaktdaten ab. Die Kriminellen wollen aber in erster Linie ans Geld der Ahnungslosen. Hierzu fängt der Trojaner Eingaben in Apps wie E-Banking, Kreditkartenformularen, Bitcoin-Wallets oder auch wichtigen E-Mail-Apps wie Gmail ab.

Der Trojaner blendet Masken über Kreditkartenzahlapps oder auch Gmail ein und versucht die persönlichen Daten des Opfers abzugreifen

Wer sein Passwort hier eintippt, übermittelt es direkt den Kriminellen.
Wer sein Passwort hier eintippt, übermittelt es direkt den Kriminellen.bild: switch

Darum verbreitet sich der Trojaner rasant

Die Kriminellen verbreiten den Trojaner vermutlich zunächst über SMS-Wegwerfnummern, die einen Schweizer Absender vortäuschen. Gelingt es FluBot, sich auf Smartphones einzunisten, verbreitet er sich wurmartig weiter, indem er weitere betrügerische Spam-SMS an die Kontakte im Adressbuch sendet. Da die SMS aus Sicht der Empfängerinnen und Empfänger von einer bekannten Nummer kommt, steigt das Risiko, dass weitere Opfer auf die Masche hereinfallen. Zum Teil enthalten die Betrugs-SMS gar eine persönliche Anrede. Das weckt zusätzlich Vertrauen und erhöht das Risiko, dass weitere Geräte mit Malware infiziert werden.

Ausserdem ist FluBot so konzipiert, dass es für Mobilfunkprovider schwierig ist, seine Verbreitung vollständig zu blockieren, wie die IT-Sicherheitsexperten von Switch in einem Blog-Beitrag erklären. Werden die Spam-SMS gemeldet, kann der Zugriff auf die bösartigen Webseiten aber relativ rasch von den Providern blockiert werden. Ausserdem werden die Spam-SMS so von Google erkannt und mit einer Warnung versehen.

Da die aktuelle Spam-Welle bei den Providern inzwischen bekannt ist, werden verdächtige SMS mit einer Warnung versehen

Die Provider blockieren die schädlichen Links, sobald eine neue Angriffswelle entdeckt wird, aber die Kriminellen sind erfahrungsgemäss spätestens nach ein paar Wochen zurück.
Die Provider blockieren die schädlichen Links, sobald eine neue Angriffswelle entdeckt wird, aber die Kriminellen sind erfahrungsgemäss spätestens nach ein paar Wochen zurück.bild: watson

Der FluBot-Trojaner ist in diversen Ländern aktiv. Die Kriminellen versuchen die Handy-User mit immer neuen Tricks zu überlisten. Neuerdings gibt sich der Trojaner beispielsweise gar als Sicherheits-Update für Android aus. Dabei warnt FluBot die User vor einer angeblichen Infektion mit einem Trojaner. Wer das angebliche Sicherheits-Update installiert, fängt sich den Trojaner ein.

Warum haben die Betrüger meine Handy-Nummer?

Hat der Trojaner in einem Land eine gewisse Verbreitung erreicht, ist es wahrscheinlich, dass er von einem anderen infizierten Mobiltelefonen aus verschickt wurde. Die Handy-Nummer und weitere Informationen wie der Name oder die Wohnadresse können auch aus früheren Datenlecks bei Facebook, LinkedIn, Clubhouse etc. stammen. Denkbar wäre zudem, dass die Kriminellen zufällig Schweizer Mobilfunknummern generieren und massenhaft durchprobieren.

Was sollte man tun, wenn man solche Spam-SMS erhält?

  • SMS löschen oder ignorieren
  • Allenfalls dem Nationalen Zentrum für Cybersicherheit (NCSC) melden. Das Meldeformular ist auf der Webseite des NCSC zu finden.

Was können Opfer tun?

Die Polizei rät:

  • Setzen Sie das Handy auf Werkseinstellungen zurück
  • Informieren Sie Ihren Mobilanbieter
  • Lassen Sie Ihre Kreditkarte sperren und bestellen Sie eine neue
  • Ändern Sie Ihre Zugangsdaten zu den von Ihnen genutzten Kryptowährungs-Bezahldienste von einem anderen Gerät aus
  • Wenn Sie Gmail nutzen, dann ändern Sie die Zugangsdaten von einem anderen Gerät aus
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
84 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Atavar
15.10.2021 13:32registriert März 2020
Super, dass WATSON da schnell mit einem hilfreichen Artikel zur Stelle ist. Danke!
2156
Melden
Zum Kommentar
avatar
hanninanni
15.10.2021 12:57registriert Oktober 2018
Hab mich schon gefragt, was das soll.. die letzten drei Tage sechs solche SMS bekommen.
Danke für die Information/Aufklärung! :)
1402
Melden
Zum Kommentar
avatar
AlleNicksVergeben
15.10.2021 12:53registriert Mai 2021
"Apps aus nicht vertrauenswürdigen Quellen zulassen" wieder einmal wäre Lesen der beste Schutz für den Durchschnittsuser. Aber das machen sie ja nicht.
878
Melden
Zum Kommentar
84
FCZ-Fan fordert nach Fackelwurf auf GC-Fans Freispruch vor Gericht
Ein 23-jähriger Fussballfan hat sich am Dienstagmorgen vor dem Bezirksgericht Zürich wegen eines Fackelwurfs verantworten müssen. Er sagte, er habe mit der brennenden Fackel niemanden treffen wollen und forderte einen Freispruch.

Die Ausschreitungen im Stadion Letzigrund nach dem Spiel GC Zürich gegen den FC Zürich am 23. Oktober 2021 sorgten für Schlagzeilen. Sogar von der «Schande von Zürich 2.0» war in einem «Blick»-Artikel die Rede, in Anlehnung an die schweren Ausschreitungen beim Skandalderby im Oktober 2011, die als «Schande von Zürich» in die Fussballgeschichte eingingen.

Zur Story