Flubot

Besitzt du ein Android-Handy und hast eine SMS-Nachricht mit einem Link zu einer Sprachnachricht erhalten? Dann solltest du diese Nachricht ungelesen löschen, denn dahinter verbirgt sich sehr wahrscheinlich eine neue Malware namens «Flubot», die seit Kurzem in der Schweiz aktiv ist.

Falls du auf den Link klickst, der sich in der SMS-Nachricht befindet, wirst du auf eine betrügerische Website weitergeleitet, auf der die angebliche Sprachnachricht heruntergeladen werden sollen.

Tust du dies, installierst du die Malware auf deinem Handy und ermöglichst ihr damit, sensible Daten von deinem Gerät abzugreifen. Diese Angriffsmethode nennt sich «Smishing», eine Wortkombination aus «SMS» und «Phishing».

In Deutschland sowie in anderen Ländern tarnt sich «Flubot» unter anderem als SMS-Paketmeldung von einem Transportunternehmen wie beispielsweise DHL oder FedEx. Der Link in der Nachricht führt dann auf eine betrügerische Website, von der eine angebliche App der Transportfirma heruntergeladen werden soll.

‼️ Android #FluBot banking trojan is spreading in DE 🇩🇪 via a link in SMS impersonating the FedEx app.
Based on our data, the campaign started March 15, 2021. We have identified dozens of cases where users downloaded this app from a fake FedEx site. #ESETresearch @LukasStefanko pic.twitter.com/0lRZ8AcZKw

— ESET research (@ESETresearch) March 18, 2021

Nationale Organisationen warnen

Verschiedene Schweizer IT-Organisationen warnen derzeit vor der Malware, darunter Switch oder das Nationale Zentrum für Cybersicherheit in Bern, kurz NCSC:

«Zurzeit erhält das NCSC zahlreiche Meldungen zu SMS, welche den Empfänger auf eine vermeintliche Sprachnachricht hinweisen. Wer auf den Link in der SMS klickt, gelangt auf eine gefälschte Internetseite, auf der das Opfer aufgefordert wird, die Nachricht herunterzuladen. In Tat und Wahrheit handelt es sich aber um eine Schadsoftware. Laden Sie diese Datei auf keinen Fall herunter, klicken Sie nicht auf den Link in der SMS und löschen Sie die Meldung.»

Auch die Kantonspolizei Zürich beschreibt die Schadsoftware auf der eigenen Cybercrime-Website cybercrimepolice.ch: SMS würden unter anderem an kostenpflichtige Premium-Nummern verschickt, so die Kapo Zürich. Ausserdem versuche «Flubot», Kreditkartendaten abzugreifen sowie Dateneingaben bei Kryptowährungs-Apps oder dem E-Mail-Dienst Gmail. Die Kapo gibt zudem Tipps, was man tun kann, wenn man die Malware versehentlich auf dem Handy installiert hat (siehe Infos weiter unten).

Warnung vor SMS – Betrügern

Das SMS „Neue Voicemail“ ist die gefährliche Schadsoftware FluBothttps://t.co/IDSzMBKmzj#KantonspolizeiZürich #Cybercrime pic.twitter.com/kf9OjN753s

— Kantonspolizei Zürich (@KapoZuerich) June 21, 2021

Um sich weiterzuverbreiten, nutzt die Malware zudem die Kontaktliste des infizierten Handys, um unzählige SMS-Nachrichten an weitere Geräte zu verschicken.

Woher kommt «Flubot»?

Aufgetaucht ist «Flubot» erstmals im Dezember 2020 in Spanien, Ungarn und Polen. Seither hat sich die Malware, die auch unter den Namen «Cabassous» und «Fakechat» bekannt ist, weltweit ausgebreitet.

«Flubot» kann grundsätzlich nur Android-Handys infizieren. iPhones können zwar ebenfalls ein solches SMS erhalten, sind aber nicht direkt in Gefahr, weil Apps nur über den offiziellen und von Apple geprüften Apple Store installiert werden können.

Was kann ich tun, wenn ich ein solches SMS erhalte?

• Klicke nicht auf den Link
• Lösche die SMS-Nachricht
• Sensibilisiere idealerweise Personen aus deinem sozialen Umfeld für das Thema und zeige ihnen allenfalls die SMS-Nachricht, bevor du sie löschst

Was tun, wenn ich doch auf den Link geklickt habe?

• Setze dein Handy auf die Werkseinstellungen zurück (Wie geht das?); dabei werden alle Daten auf dem Handy gelöscht
• Informiere deinen Mobilfunkanbieter
• Sperre deine Kreditkarte(n)
• Ändere die Zugangsdaten von allfälligen Kryptowährung-Apps von einem anderen Gerät aus
• Verfahre ebenso, falls du Gmail nutzt

Wie kann ich mich vor «Flubot» schützen?

• Halte die Android-Version auf deinem Handy aktuell
• Schütze dein Handy mit einer Anti-Malware-Software (z.B. SophosMobile Security für Android)
• Lade Apps nur vom offiziellen Google Play Store herunter
• Lege in den Sicherheitseinstellungen deines Handys fest, dass Daten aus «unbekannten Quellen» nicht installiert werden dürfen

Quellen:

https://securityblog.switch.ch/2021/06/19/android-flubot-enters-switzerland/#comments
https://www.ncsc.admin.ch/ncsc/de/home/aktuell/aktuelle-vorfaelle.html
https://www.cybercrimepolice.ch/de/fall/das-sms-neue-voicemail-ist-die-gefaehrliche-schadsoftware-flubot/
https://medium.com/csis-techblog/the-brief-glory-of-cabassous-flubot-a-private-android-banking-botnet-bc2ed7917027
https://www.t-online.de/digital/internet/id_90136940/vorsicht-falsche-dhl-app-android-trojaner-flubot-breitet-sich-aus.html
https://support.google.com/android/answer/6088915?hl=de
https://en.wiktionary.org/wiki/smishing
https://www.droidwiki.org/wiki/Sideloading
https://de.wikipedia.org/wiki/Phishing