In den vergangenen Wochen haben Mobilfunknutzer in mehreren Ländern SMS-Nachrichten erhalten, die zu einer Banking-Malware namens „FluBot“ führen. Die Angreifer geben sich dabei als Versanddienst aus und fordern die Nutzer auf, eine Tracking-App zu installieren, um den Status eines Pakets nachzuverfolgen. In Wirklichkeit greifen sie dadurch jedoch Anmeldeinformationen und andere persönliche Daten der Nutzer ab. Avast (LSE:AVST), ein weltweit führender Anbieter von Lösungen für digitale Sicherheit und Privatsphäre, erkennt und blockiert diese Bedrohung, um seine Android-Nutzer zu schützen und erfasst über seine Mobile Threat Intelligence-Plattform apklab.io täglich neue Muster von FluBot-Versionen.
Aktuellen Untersuchungen zufolge hat FluBot bereits 60.000 Geräte infiziert und die Gesamtzahl der von den Angreifern gesammelten Telefonnummern wurde bis Anfang März auf 11 Millionen geschätzt. Auch in Deutschland waren zahlreiche Geräte Angriffsziel für die Cyberkriminellen.
„Die ersten FluBot-Angriffe wurden bereits vor Wochen gemeldet und wir sehen immer noch jeden Tag Dutzende neuer Versionen“, sagt Ondrej David, Malware Analysis Team Leader bei Avast. Obwohl Sicherheitslösungen diese Angriffe blockieren, zeigt die schnelle Fortsetzung der Kampagne, dass sie erfolgreich ist. Daher sollten Anwender dringend wachsam bleiben.
Im Moment sind die Hauptziele der Angreifer Spanien, Italien, Deutschland, Ungarn, Polen und Großbritannien. Es besteht jedoch die Möglichkeit, dass der Aktionsradius in naher Zukunft auf andere Länder ausgeweitet wird. Anwender sollten daher sehr vorsichtig mit allen eingehenden SMS sein, besonders wenn sie sich auf Lieferdienste beziehen.
So funktioniert FluBot
FluBot ist ein Beispiel für eine SMS-basierte Malware-Kampagne. Er verbreitet sich, indem er SMS-Nachrichten sendet, die behaupten, dass der Empfänger eine Paketzustellung erhalten hat und ihn auffordert, über den enthaltenen Link eine Tracking-App herunterzuladen. Wenn der Empfänger auf den Link klickt, wird er auf eine Website weitergeleitet, auf der er die App herunterladen kann. Bei der App handelt es sich jedoch um Malware, die nach der Installation die Kontakte des Opfers stiehlt und sie auf einen Remote-Server überträgt. Diese Informationen werden später vom Server verwendet, um weitere Nachrichten zu versenden und die bösartigen SMS-Nachrichten an eben diese Kontakte weiter zu verteilen.
Die Schadsoftware verwendet dabei eine Android-Komponente namens "Accessibility", um zu überwachen, was auf dem Gerät vor sich geht, und die Kontrolle darüber zu übernehmen. Dies ermöglicht den Angreifern beispielsweise, sogenannte Fenster-Overlays mit hoher Priorität anzuzeigen. Mit anderen Worten, die Malware kann Apps auf dem Bildschirm mit eigenen Inhalten überlagern. Zum Beispiel ein gefälschtes Banking-Portal, das über einer legitimen Banking-App-Aktivität angezeigt wird. Wenn der Anwender seine Anmeldeinformationen auf diesem Overlay-Bildschirm eingibt, können diese gestohlen werden.
Diese Komponente wird von der Malware auch als Selbstverteidigungsmechanismus ausgenutzt, um alle Deinstallationsversuche der betroffenen Nutzer abzubrechen, wodurch sie nur schwer von infizierten Geräten entfernt werden kann.
„Was diese Malware besonders erfolgreich macht, ist die Tatsache, dass sie sich als Paketdienst tarnt und Texte wie ‘Ihr Paket kommt an, laden Sie die App herunter, um es zu verfolgen’, oder ‘Sie haben Ihre Paketzustellung verpasst. Laden Sie die App herunter, um sie zu verfolgen’ verwendet, worauf viele ahnungslose Anwender leicht hereinfallen können. Vor allem in der aktuellen Situation, in der die Hauszustellung für viele Unternehmen zum Standard geworden ist", so Ondrej David.
Während der Pandemie haben sich mehr Menschen an den Online-Einkauf gewöhnt und es ist nicht ungewöhnlich, dass sie häufig Pakete und Päckchen erhalten. So hat laut Bitkom ein Drittel der deutschen Verbraucher seine Online-Shopping-Aktivitäten während der Pandemie erhöht. Insgesamt shoppen 83 Prozent der Deutschen im Internet. Cyberkriminelle, die Malware wie Flubot entwickeln, nutzen solche Trends und aktuelle Ereignisse aus, um möglichst viele potenzielle Opfer anzulocken.
Wie kann man sich vor FluBot schützen?
Installieren Sie eine Antivirenlösung, wie Avast Antivirus für Android, die Bedrohungen wie FluBot erkennt und Sie davor warnt. Wenn Sie glauben, dass Sie bereits davon betroffen sind, können Sie die Antiviren-App außerdem installieren, um einen Scan auf Ihrem Gerät durchzuführen und die Malware zu identifizieren. Wird der Virenscanner fündig, ist es ratsam, das Gerät im abgesicherten Modus neu zu starten und die erkannte Anwendung zu deinstallieren. Mit diesem Schritt werden auch alle anderen Anwendungen von Drittanbietern vorübergehend deaktiviert, sie werden jedoch mit dem nächsten regulären Neustart wieder aktiviert.
Wenn Sie glauben, dass Sie Opfer eines Datendiebstahls durch Flubot geworden sind, sollten Sie zudem umgehend alle Passwörter für Dienste zurückzusetzen, von denen Sie annehmen, dass sie kompromittiert wurden, wie zum Beispiel Banking- oder Shopping-Apps.
Darüber hinaus empfiehlt Avast, die folgenden Maßnahmen zu ergreifen, um sich vor FluBot und anderen mobilen Phishing-Angriffen zu schützen:
- Klicken Sie nicht auf Links in SMS-Nachrichten. Vor allem, wenn eine Nachricht Sie auffordert, Software oder Apps auf Ihren Geräten zu installieren.
- Vorsicht bei verdächtigen SMS. Seien Sie skeptisch, wenn Sie eine Mitteilung erhalten, die Sie nicht erwarten. Hier ist es immer am besten, das Unternehmen selbst anzurufen und die Kontaktinformationen auf der seriösen Website zu verwenden, um den Erhalt der Nachricht zu bestätigen. Antworten Sie nicht direkt auf verdächtige Kommunikation. Beginnen Sie immer eine neue Kommunikation über die offiziellen Servicekanäle des Unternehmens.
- Hinterfragen Sie die Nachricht. Es ist wichtig, dass Sie Mitteilungen besonders sorgsam lesen, um Phishing-Versuche zu erkennen. Diese neigen dazu, generisch zu sein und sich massenhaft zu verbreiten, ebenso wie automatisierte Nachrichten oder Angebote, die zu gut um wahr zu sein scheinen.
- Installieren Sie keine Apps von Anbietern außerhalb der offiziellen App-Stores. Die meisten großen Versandunternehmen haben ihre eigenen Apps, die in vertrauenswürdigen Stores wie Google Play oder dem Apple App Store zum Download bereitstehen. Stellen Sie außerdem die Sicherheitseinstellungen Ihres Mobilgeräts so ein, dass nur Apps aus diesen vertrauenswürdigen Quellen installiert werden.
In den vergangenen Wochen haben Mobilfunknutzer in mehreren Ländern SMS-Nachrichten erhalten, die zu einer Banking-Malware namens „FluBot“ führen. Die Angreifer geben sich dabei als Versanddienst aus und fordern die Nutzer auf, eine Tracking-App zu installieren, um den Status eines Pakets nachzuverfolgen. In Wirklichkeit greifen sie dadurch jedoch Anmeldeinformationen und andere persönliche Daten der Nutzer ab. Avast (LSE:AVST), ein weltweit führender Anbieter von Lösungen für digitale Sicherheit und Privatsphäre, erkennt und blockiert diese Bedrohung, um seine Android-Nutzer zu schützen und erfasst über seine Mobile Threat Intelligence-Plattform apklab.io täglich neue Muster von FluBot-Versionen.
Aktuellen Untersuchungen zufolge hat FluBot bereits 60.000 Geräte infiziert und die Gesamtzahl der von den Angreifern gesammelten Telefonnummern wurde bis Anfang März auf 11 Millionen geschätzt. Auch in Deutschland waren zahlreiche Geräte Angriffsziel für die Cyberkriminellen.
„Die ersten FluBot-Angriffe wurden bereits vor Wochen gemeldet und wir sehen immer noch jeden Tag Dutzende neuer Versionen“, sagt Ondrej David, Malware Analysis Team Leader bei Avast. Obwohl Sicherheitslösungen diese Angriffe blockieren, zeigt die schnelle Fortsetzung der Kampagne, dass sie erfolgreich ist. Daher sollten Anwender dringend wachsam bleiben.
Im Moment sind die Hauptziele der Angreifer Spanien, Italien, Deutschland, Ungarn, Polen und Großbritannien. Es besteht jedoch die Möglichkeit, dass der Aktionsradius in naher Zukunft auf andere Länder ausgeweitet wird. Anwender sollten daher sehr vorsichtig mit allen eingehenden SMS sein, besonders wenn sie sich auf Lieferdienste beziehen.
So funktioniert FluBot
FluBot ist ein Beispiel für eine SMS-basierte Malware-Kampagne. Er verbreitet sich, indem er SMS-Nachrichten sendet, die behaupten, dass der Empfänger eine Paketzustellung erhalten hat und ihn auffordert, über den enthaltenen Link eine Tracking-App herunterzuladen. Wenn der Empfänger auf den Link klickt, wird er auf eine Website weitergeleitet, auf der er die App herunterladen kann. Bei der App handelt es sich jedoch um Malware, die nach der Installation die Kontakte des Opfers stiehlt und sie auf einen Remote-Server überträgt. Diese Informationen werden später vom Server verwendet, um weitere Nachrichten zu versenden und die bösartigen SMS-Nachrichten an eben diese Kontakte weiter zu verteilen.
Die Schadsoftware verwendet dabei eine Android-Komponente namens "Accessibility", um zu überwachen, was auf dem Gerät vor sich geht, und die Kontrolle darüber zu übernehmen. Dies ermöglicht den Angreifern beispielsweise, sogenannte Fenster-Overlays mit hoher Priorität anzuzeigen. Mit anderen Worten, die Malware kann Apps auf dem Bildschirm mit eigenen Inhalten überlagern. Zum Beispiel ein gefälschtes Banking-Portal, das über einer legitimen Banking-App-Aktivität angezeigt wird. Wenn der Anwender seine Anmeldeinformationen auf diesem Overlay-Bildschirm eingibt, können diese gestohlen werden.
Diese Komponente wird von der Malware auch als Selbstverteidigungsmechanismus ausgenutzt, um alle Deinstallationsversuche der betroffenen Nutzer abzubrechen, wodurch sie nur schwer von infizierten Geräten entfernt werden kann.
„Was diese Malware besonders erfolgreich macht, ist die Tatsache, dass sie sich als Paketdienst tarnt und Texte wie ‘Ihr Paket kommt an, laden Sie die App herunter, um es zu verfolgen’, oder ‘Sie haben Ihre Paketzustellung verpasst. Laden Sie die App herunter, um sie zu verfolgen’ verwendet, worauf viele ahnungslose Anwender leicht hereinfallen können. Vor allem in der aktuellen Situation, in der die Hauszustellung für viele Unternehmen zum Standard geworden ist", so Ondrej David.
Während der Pandemie haben sich mehr Menschen an den Online-Einkauf gewöhnt und es ist nicht ungewöhnlich, dass sie häufig Pakete und Päckchen erhalten. So hat laut Bitkom ein Drittel der deutschen Verbraucher seine Online-Shopping-Aktivitäten während der Pandemie erhöht. Insgesamt shoppen 83 Prozent der Deutschen im Internet. Cyberkriminelle, die Malware wie Flubot entwickeln, nutzen solche Trends und aktuelle Ereignisse aus, um möglichst viele potenzielle Opfer anzulocken.
Wie kann man sich vor FluBot schützen?
Installieren Sie eine Antivirenlösung, wie Avast Antivirus für Android, die Bedrohungen wie FluBot erkennt und Sie davor warnt. Wenn Sie glauben, dass Sie bereits davon betroffen sind, können Sie die Antiviren-App außerdem installieren, um einen Scan auf Ihrem Gerät durchzuführen und die Malware zu identifizieren. Wird der Virenscanner fündig, ist es ratsam, das Gerät im abgesicherten Modus neu zu starten und die erkannte Anwendung zu deinstallieren. Mit diesem Schritt werden auch alle anderen Anwendungen von Drittanbietern vorübergehend deaktiviert, sie werden jedoch mit dem nächsten regulären Neustart wieder aktiviert.
Wenn Sie glauben, dass Sie Opfer eines Datendiebstahls durch Flubot geworden sind, sollten Sie zudem umgehend alle Passwörter für Dienste zurückzusetzen, von denen Sie annehmen, dass sie kompromittiert wurden, wie zum Beispiel Banking- oder Shopping-Apps.
Darüber hinaus empfiehlt Avast, die folgenden Maßnahmen zu ergreifen, um sich vor FluBot und anderen mobilen Phishing-Angriffen zu schützen:
- Klicken Sie nicht auf Links in SMS-Nachrichten. Vor allem, wenn eine Nachricht Sie auffordert, Software oder Apps auf Ihren Geräten zu installieren.
- Vorsicht bei verdächtigen SMS. Seien Sie skeptisch, wenn Sie eine Mitteilung erhalten, die Sie nicht erwarten. Hier ist es immer am besten, das Unternehmen selbst anzurufen und die Kontaktinformationen auf der seriösen Website zu verwenden, um den Erhalt der Nachricht zu bestätigen. Antworten Sie nicht direkt auf verdächtige Kommunikation. Beginnen Sie immer eine neue Kommunikation über die offiziellen Servicekanäle des Unternehmens.
- Hinterfragen Sie die Nachricht. Es ist wichtig, dass Sie Mitteilungen besonders sorgsam lesen, um Phishing-Versuche zu erkennen. Diese neigen dazu, generisch zu sein und sich massenhaft zu verbreiten, ebenso wie automatisierte Nachrichten oder Angebote, die zu gut um wahr zu sein scheinen.
- Installieren Sie keine Apps von Anbietern außerhalb der offiziellen App-Stores. Die meisten großen Versandunternehmen haben ihre eigenen Apps, die in vertrauenswürdigen Stores wie Google Play oder dem Apple App Store zum Download bereitstehen. Stellen Sie außerdem die Sicherheitseinstellungen Ihres Mobilgeräts so ein, dass nur Apps aus diesen vertrauenswürdigen Quellen installiert werden.