Spam-Nachrichten von FluBot

Das steckt hinter den Voicemail-SMS, die Tausende Schweizer erhalten

Uhr
von Oliver Wietlisbach (Watson), lha

Aktuell erhalten Schweizer Handy-User massenhaft Kurznachrichten mit schädlichen Links. Kriminelle versuchen ahnungslose Opfer zur Installation eines E-Banking-Trojaners zu verführen.

(Source: LinkedIn Sales Solutions / Unsplash)
(Source: LinkedIn Sales Solutions / Unsplash)

Der brandgefährliche Android-Trojaner FluBot ist zurück. Kriminelle greifen derzeit gezielt Schweizer Handy-Nutzerinnen und Nutzer an. Hierzu versenden sie massenhaft Spam-SMS an hiesige Mobilfunknummern. In den Kurznachrichten ist jeweils von einem verpassten Anruf, beziehungsweise einer Sprachnachricht die Rede, die man abhören könne.

Um die Sprachnachricht abzuhören, solle man den Link in der SMS öffnen. Auf der geöffneten Webseite, die vermeintlich vom eigenen Mobilfunkprovider stammt, wird man aufgefordert, eine neue Voicemail-App zu installieren. Auf Android-Geräten wird das Opfer aufgefordert, die Datei "Voicemail.apk" zu installieren.

Android blockiert die Installation von Apps aus unbekannten Quellen. Nutzerinnen und Nutzer haben allerdings die Möglichkeit, diesen Schutzmechanismus manuell zu umgehen. Dies ist grundsätzlich sinnvoll, da die User stets die Möglichkeit haben sollen, Apps aus alternativen App-Stores, beziehungsweise von vertrauenswürdigen Webseiten zu installieren. Allerdings machen sich die Kriminellen genau dies zunutze und versuchen ihre Opfer dazu zu verleiten, den Schutzmechanismus selbst ausser Kraft zu setzen.

So sehen die betrügerischen SMS aus. (Source: Cybercrimepolice.ch)

Den Opfern wird also vorgegaukelt, sie müssten eine neue Voicemail-App von der Webseite ihres Mobilfunkproviders herunterladen. Tatsächlich aber handelt es sich um einen gefährlichen E-Banking-Trojaner. Grund zur Panik gibt es dennoch nicht: Wer sich an die offiziellen App-Stores von Google, Samsung, Huawei oder anderen vertrauenswürdigen Anbietern hält, kann sich den E-Banking-Trojaner nicht einfangen.

Da die Malware auf iOS-Geräten nicht installiert werden kann, leitet die URL iPhone-User beim Aufrufen auf betrügerische Phishing- und Werbewebsiten weiter. Dort lauern Abofallen, Angebote für dubiose Geldanlagen oder andere Schadsoftware.

Wer auf den Link in der SMS klickt, gelangt auf eine Website, die zum Herunterladen einer Voicemail-App animiert. (Source: Cybercrimepolice.ch)

Darum ist der Trojaner gefährlich

Bei der Schadsoftware handelt es sich um den Trojaner FluBot, den es seit Ende 2020 gibt. Die Malware greift Namen und Telefonnummern der Kontakte im Adressbuch, SMS, Kredit- und Bankdaten sowie andere private Informationen ab.

FluBot wurde in der Schweiz erstmals im Juni dieses Jahres in grösserem Stil beobachtet. Die Kantonspolizei Zürich warnte Android-User damals wie folgt: "Die Betrüger übernehmen die Kontrolle über den SMS-Versand des Handys. Sie verschicken dann in grosser Zahl SMS auf Kosten des Opfers an weitere potenzielle Opfer. Dazu nutzen sie die Kontaktdaten des Handys."

Beobachtet wurden auch SMS an teure Destinationen und kostenpflichtige Premiumnummern. Ausserdem blendet FluBot Masken über Kreditkartenzahlapps ein und versucht die persönlichen Daten des Opfers abzugreifen. Ausserdem fängt er Eingaben bei Biance, Coinbase, Blockchain.com Wallet, und Gmail ab.

Zwecks Weiterverbreitung greift FluBot die im Adressbuch des Opfers gespeicherten Kontaktdaten ab. Die Kriminellen wollen aber in erster Linie ans Geld der Ahnungslosen. Hierzu fängt der Trojaner Eingaben in Apps wie E-Banking, Kreditkartenformularen, Bitcoin-Wallets oder auch wichtigen E-Mail-Apps wie Gmail ab.

Darum verbreitet sich der Trojaner rasant

Die Kriminellen verbreiten den Trojaner vermutlich zunächst über SMS-Wegwerfnummern, die einen Schweizer Absender vortäuschen. Gelingt es FluBot, sich auf Smartphones einzunisten, verbreitet er sich wurmartig weiter, indem er weitere betrügerische Spam-SMS an die Kontakte im Adressbuch sendet.

Da die SMS aus Sicht der Empfängerinnen und Empfänger von einer bekannten Nummer kommt, steigt das Risiko, dass weitere Opfer auf die Masche hereinfallen. Zum Teil enthalten die Betrugs-SMS gar eine persönliche Anrede. Das weckt zusätzlich Vertrauen und erhöht das Risiko, dass weitere Geräte mit Malware infiziert werden.

Ausserdem ist FluBot so konzipiert, dass es für Mobilfunkprovider schwierig ist, seine Verbreitung vollständig zu blockieren, wie die IT-Sicherheitsexperten von Switch in einem Blog-Beitrag erklären. Werden die Spam-SMS gemeldet, kann der Zugriff auf die bösartigen Webseiten aber relativ rasch von den Providern blockiert werden. Ausserdem werden die Spam-SMS so von Google erkannt und mit einer Warnung versehen.

Der FluBot-Trojaner ist in diversen Ländern aktiv. Die Kriminellen versuchen die Handy-User mit immer neuen Tricks zu überlisten. Neuerdings gibt sich der Trojaner beispielsweise gar als Sicherheits-Update für Android aus. Dabei warnt FluBot die User vor einer angeblichen Infektion mit einem Trojaner. Wer das angebliche Sicherheits-Update installiert, fängt sich den Trojaner ein.

Warum haben die Betrüger meine Handy-Nummer?

Hat der Trojaner in einem Land eine gewisse Verbreitung erreicht, ist es wahrscheinlich, dass er von einem anderen infizierten Mobiltelefonen aus verschickt wurde. Die Handy-Nummer und weitere Informationen wie der Name oder die Wohnadresse können auch aus früheren Datenlecks bei Facebook, LinkedIn, Clubhouse etc. stammen. Denkbar wäre zudem, dass die Kriminellen zufällig Schweizer Mobilfunknummern generieren und massenhaft durchprobieren.

Was sollte man tun, wenn man solche Spam-SMS erhält?

SMS löschen oder ignorieren. Allenfalls dem Nationalen Zentrum für Cybersicherheit (NCSC) melden. Das Meldeformular ist auf der Webseite des NCSC zu finden.

Was können Opfer tun?

Die Polizei rät:

  • Setzen Sie das Handy auf Werkseinstellungen zurück

  • Informieren Sie Ihren Mobilanbieter

  • Lassen Sie Ihre Kreditkarte sperren und bestellen Sie eine neue

  • Ändern Sie Ihre Zugangsdaten zu den von Ihnen genutzten Kryptowährungs-Bezahldienste von einem anderen Gerät aus

  • Wenn Sie Gmail nutzen, dann ändern Sie die Zugangsdaten von einem anderen Gerät aus

Dieser Beitrag erschien zuerst auf Watson.ch.

FluBot verschickt übrigens nicht nur SMS. Im Sommer versuchten die Kriminellen potenzielle Opfer per Anruf dazu zu bringen, ihre Zahlungsinformationen offenzulegen. Mehr zur Masche lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_234383