Aufgrund der Corona-Pandemie sehen viele Menschen ihren Paketzusteller zurzeit häufiger als ihre Freunde und verfolgen ihre Online-Käufe auf Schritt und Tritt.

Dabei sollten Android-Nutzer derzeit besondere Vorsicht walten lassen. Vor allem dann, wenn Sendungsbenachrichtigungen unerwartet per SMS geschickt werden und Links enthalten. Denn Cyberkriminelle versuchen gerade unsere Vorfreude auf die Zustellung auszunutzen und uns Trojaner statt Pakete zu liefern.

Nach Angaben von ESET Sicherheitsforscher Lukas Stefanko und der ESET Telemetrie wird auf diese Weise seit dem 15. März der Banking Trojaner FluBot in Deutschland verbreitet.

Der Angriff beginnt mit einer SMS und läuft so ab:

  • Die Opfer erhalten eine vermeintliche Sendungsbenachrichtigungen für ein Paket per SMS. Die Nachricht enthält einen Link über die man das Paket verfolgen können soll.
  • Klickt man auf den Link, dann landet man auf einer gefälschten Webseite des Logistikunternehmens FedEx. Dort soll das Opfer eine angebliche Sendungsverfolgungs-App von FedEx installieren.
  • Installiert das Opfer das Android-Programm fängt es sich den Banking Trojaner FluBot ein.

Lukas Stefanko hat dazu ebenfalls ein Video veröffentlicht:

Schon Anfang des Jahres wurde in Deutschland vor ähnlichen Smishing-Nachrichten gewarnt. Allerdings ist kein Zusammenhang mit der derzeitigen Kampagne, deren Anfänge im europäischen Ausland liegen, bekannt.

Unter „Smishing“ versteht man von SMS-Nachrichten ausgehendes Phishing. Wie beim Phishing versuchen die Angreifer ihre Opfer, unter Vorspiegelung falscher Tatsachen, zum Öffnen eines Links eines vermeintlich bekannten Onlinedienstes zu bewegen. Auf der gefälschten Zielseite kommt es entweder zum Diebstahl von Anmeldeinformationen oder zur Infektion mit Malware. Grundsätzlich sind sowohl Android- als auch iOS-Nutzer durch Smishing-Attacken gefährdet. Das hier beschriebene Schadprogramm richtet sich jedoch nur gegen Smartphones mit Android Betriebssystem.

Die Geschichte von Flubot

Der Banking Trojaner wurde Ende 2020 von Prodaft entdeckt und ungefähr im gleichen Zeitraum auch unter dem Namen „Cabassous“ beschrieben. Im Dezember 2020 wurde er zum ersten Mal in freier Wildbahn beobachtet. Wie eine inhaltliche Analyse gezeigt hat, richtet sich die Malware gegen Android-Nutzer in Spanien, sowie Deutschland und Polen. Darauf lassen unter anderem die entdeckten Textbausteine und die Anwendungsnamen schließen, die FluBot verwendet, wie „FedEx“, „DHL“ und „Correos“ (spanische Post).

Bei der Installation lässt sich der Trojaner weitreichende Berechtigungen von seinen Opfern erteilen. Dazu zählt das Einsehen von Benachrichtigungen, das Lesen und Schreiben von SMS-Nachrichten, das Abrufen der Kontaktliste sowie das Durchführen von Anrufen.

wls_smishing_fedex_stefanko_Bild1.jpg
wls_smishing_fedex_stefanko_Bild2.jpg
wls_smishing_fedex_stefanko_Bild3.jpg
wls_smishing_fedex_stefanko_Bild4.jpg

Abbildungen 1-4: Screenshots der Smishing-Nachricht, der vermeintlichen FedEx-Webseite und der falschen App.

Nach der Installation stiehlt das Programm die Kontakte der Opfer und nutzt sie, um sich per SMS-Nachricht weiterzuverbreiten. Daneben verfügt die Malware über typische Fähigkeiten von Banking-Trojanern, wie Overlay-Attacken und dem Abfangen von SMS-basierten Einmalpasswörtern für die Zwei-Faktor-Authentifizierung (2FA). Im Visier sind Apps von Banken und Kryptowährungsbörsen.

Die Sicherheitslösung von ESET erkennt den Schädling und verhindert eine Infektion des Geräts.

Laut der Analyse von Prodaft sind bis zum 5. März über 11 Millionen Telefonnummern gestohlen worden, hauptsächlich in Spanien. Dort kam es auch zu mehreren Festnahmen in Zusammenhang mit dem Fall. Allerdings scheint dies, wenn überhaupt, die Verbreitung des Schadprogramms nur kurzzeitig gebremst zu haben.

So schützen Sie sich gegen FluBot

Seit dem 15. März werden nun massenhaft Smishing-Nachrichten an deutsche Android-Nutzer verschickt. „Der Banking Trojaner FluBot verbreitet sich derzeit rasant in Deutschland und stellt ein ernsthaftes Sicherheitsproblem dar. Einmal auf dem Gerät stiehlt das Schadprogramm Kontaktdaten und sensible Informationen“, warnt Android-Sicherheitsexperte Lukas Stefanko.

So können Sie sich vor Smishing- und Phishing-Angriffen schützen:

  • Vorsicht bei Nachrichten unbekannter Absender: Prüfen Sie SMS und E-Mails mit seltsamen Inhalten genau. Falls Sie die Nachricht nicht zuordnen können und zum Beispiel gar kein Paket erwarten, dann löschen Sie die Nachricht.
  • Klicken Sie auf keinen Fall auf Links, in unaufgefordert zugesandten Nachrichten.
  • Verwenden Sie eine seröse Sicherheitslösung, die Malware abwehrt und Schutz vor Phishing bietet.
  • Halten Sie Betriebssystem und Apps stets auf dem neuesten Stand. Verfügbare Updates sollten umgehend eingespielt werden.
  • Installieren Sie nur Apps aus den offiziellen App-Stores. Die Tracking-Apps bekannter Logistikunternehmen finden Sie im Google Play Store über die Suchfunktion oder über die Verlinkungen auf den offiziellen Webseiten der Unternehmen.

Weitere Tipps zum Schutz vor Spam- und Phishing-Mails von vermeintlichen Paket-Zustellern finden Sie in diesem Artikel. Wer auch sie gründlich befolgt, kann ziemlich sicher sein, dass bei den verbleibenden Sendungen tatsächlich ein Paket geliefert wird.