In den vergangenen Wochen haben Mobilfunknutzer in mehreren Ländern SMS-Nachrichten erhalten, die zu einer Banking-Malware namens „FluBot“ führen. Die Angreifer geben sich dabei als Versanddienst aus und fordern die Nutzer auf, eine Tracking-App zu installieren, um den Status eines Pakets nachzuverfolgen. In Wirklichkeit greifen sie dadurch jedoch Anmeldeinformationen und andere persönliche Daten der Nutzer ab.
Aktuellen Untersuchungen zufolge hat FluBot bereits 60.000 Geräte infiziert und die Gesamtzahl der von den Angreifern gesammelten Telefonnummern wurde bis Anfang März auf 11 Millionen geschätzt. Auch in Deutschland waren zahlreiche Geräte Angriffsziel für die Cyberkriminellen.
„Die ersten FluBot-Angriffe wurden bereits vor Wochen gemeldet und wir sehen immer noch jeden Tag Dutzende neuer Versionen“, sagt Ondrej David, Malware Analysis Team Leader bei Avast. Obwohl Sicherheitslösungen diese Angriffe blockieren, zeigt die schnelle Fortsetzung der Kampagne, dass sie erfolgreich ist. Daher sollten Anwender dringend wachsam bleiben.
Im Moment sind die Hauptziele der Angreifer Spanien, Italien, Deutschland, Ungarn, Polen und Großbritannien. Es besteht jedoch die Möglichkeit, dass der Aktionsradius in naher Zukunft auf andere Länder ausgeweitet wird. Anwender sollten daher sehr vorsichtig mit allen eingehenden SMS sein, besonders wenn sie sich auf Lieferdienste beziehen.
So funktioniert FluBot
FluBot ist ein Beispiel für eine SMS-basierte Malware-Kampagne. Er verbreitet sich, indem er SMS-Nachrichten sendet, die behaupten, dass der Empfänger eine Paketzustellung erhalten hat und ihn auffordert, über den enthaltenen Link eine Tracking-App herunterzuladen. Wenn der Empfänger auf den Link klickt, wird er auf eine Website weitergeleitet, auf der er die App herunterladen kann.
Bei der App handelt es sich jedoch um Malware, die nach der Installation die Kontakte des Opfers stiehlt und sie auf einen Remote-Server überträgt. Diese Informationen werden später vom Server verwendet, um weitere Nachrichten zu versenden und die bösartigen SMS-Nachrichten an eben diese Kontakte weiter zu verteilen.
Die Schadsoftware verwendet dabei eine Android-Komponente namens "Accessibility", um zu überwachen, was auf dem Gerät vor sich geht, und die Kontrolle darüber zu übernehmen. Dies ermöglicht den Angreifern beispielsweise, sogenannte Fenster-Overlays mit hoher Priorität anzuzeigen.
Mit anderen Worten, die Malware kann Apps auf dem Bildschirm mit eigenen Inhalten überlagern. Zum Beispiel ein gefälschtes Banking-Portal, das über einer legitimen Banking-App-Aktivität angezeigt wird. Wenn der Anwender seine Anmeldeinformationen auf diesem Overlay-Bildschirm eingibt, können diese gestohlen werden.
Diese Komponente wird von der Malware auch als Selbstverteidigungsmechanismus ausgenutzt, um alle Deinstallationsversuche der betroffenen Nutzer abzubrechen, wodurch sie nur schwer von infizierten Geräten entfernt werden kann.
Während der Pandemie haben sich mehr Menschen an den Online-Einkauf gewöhnt und es ist nicht ungewöhnlich, dass sie häufig Pakete und Päckchen erhalten. So hat laut Bitkom ein Drittel der deutschen Verbraucher seine Online-Shopping-Aktivitäten während der Pandemie erhöht.
Insgesamt shoppen 83 Prozent der Deutschen im Internet. Cyberkriminelle, die Malware wie Flubot entwickeln, nutzen solche Trends und aktuelle Ereignisse aus, um möglichst viele potenzielle Opfer anzulocken.
Wie kann man sich vor FluBot schützen?
Installieren Sie eine Antivirenlösung, wie Avast Antivirus für Android, die Bedrohungen wie FluBot erkennt und Sie davor warnt. Wenn Sie glauben, dass Sie bereits davon betroffen sind, können Sie die Antiviren-App außerdem installieren, um einen Scan auf Ihrem Gerät durchzuführen und die Malware zu identifizieren.
Wird der Virenscanner fündig, ist es ratsam, das Gerät im abgesicherten Modus neu zu starten und die erkannte Anwendung zu deinstallieren. Mit diesem Schritt werden auch alle anderen Anwendungen von Drittanbietern vorübergehend deaktiviert, sie werden jedoch mit dem nächsten regulären Neustart wieder aktiviert.
Wenn Sie glauben, dass Sie Opfer eines Datendiebstahls durch Flubot geworden sind, sollten Sie zudem umgehend alle Passwörter für Dienste zurückzusetzen, von denen Sie annehmen, dass sie kompromittiert wurden, wie zum Beispiel Banking- oder Shopping-Apps.
Darüber hinaus empfiehlt Avast, folgende Maßnahmen, um sich vor FluBot und anderen mobilen Phishing-Angriffen zu schützen:
- Klicken Sie nie auf Links in SMS-Nachrichten: Vor allem dann nicht, wenn eine Nachricht Sie auffordert, Software oder Apps auf Ihren Geräten zu installieren.
- Vorsicht bei verdächtigen SMS: Seien Sie skeptisch, wenn Sie eine Mitteilung erhalten, die Sie nicht erwarten. Hier ist es immer am besten, das Unternehmen selbst anzurufen und die Kontaktinformationen auf der seriösen Website zu verwenden, um den Erhalt der Nachricht zu bestätigen. Antworten Sie nicht direkt auf verdächtige Kommunikation. Beginnen Sie immer eine neue Kommunikation über die offiziellen Servicekanäle des Unternehmens.
- Hinterfragen Sie die Nachricht: Es ist wichtig, dass Sie Mitteilungen besonders sorgsam lesen, um Phishing-Versuche zu erkennen. Diese neigen dazu, generisch zu sein und sich massenhaft zu verbreiten, ebenso wie automatisierte Nachrichten oder Angebote, die zu gut um wahr zu sein scheinen.
- Installieren Sie keine Apps von Anbietern außerhalb der offiziellen App-Stores: Die meisten großen Versandunternehmen haben ihre eigenen Apps, die in vertrauenswürdigen Stores wie Google Play oder dem Apple App Store zum Download bereitstehen. Stellen Sie außerdem die Sicherheitseinstellungen Ihres Mobilgeräts so ein, dass nur Apps aus diesen vertrauenswürdigen Quellen installiert werden.