Gerade in jüngster Zeit häufen sich insbesondere in Deutschland mobile Phishing-Kampagnen, die den Banking-Trojaner FluBot verbreiten. Die Phishing-Attacken werden per SMS-Nachricht zugestellt, vorgeblich als Versandbestätigungen der Deutschen Post oder von DHL. Android-Nutzer, die auf den Link klicken, werden auf eine Seite weitergeleitet, um dort eine mit FluBot infizierte App herunterzuladen. Angeblich, um ein Paket nachzuverfolgen. Einmal installiert kann die App SMS-Nachrichten abfangen und versenden, Bildschirm-Overlays anzeigen und Kontakte abziehen. Mittlerweile häufen sich Angriffe auf iOS-Benutzer gleichermaßen. Sie werden auf Phishing-Seiten weitergeleitet – angeblich Websites großer Banken. Dort werden die Opfer verleitet, ihre Anmeldeinformationen einzugeben. Nachweislich ist es gerade der sogenannte „Credential Theft“, der für die überwiegende Mehrzahl schwerwiegender Datenschutzverletzungen und Datendiebstähle verantwortlich ist.

FluBot war bereits im Dezember letzten Jahres aufgetaucht und richtete sich zunächst vornehmlich gegen Android OS-Nutzer in Spanien. Grundsätzlich sind aber iOS-Nutzer genauso im Visier der Angreifer. Nur die Taktik ist eine andere. Seit den ersten in „freier Wildbahn“ beobachteten Malware-Versionen von FluBot, benannt nach ihren grippeähnlichen Verbreitungswegen, wurde die Konfigurationsdatei mit etlichen neuen Funktionen aufgestockt. Erste Analysen wurden bereits im Januar veröffentlicht. In der Folge haben weitere Sicherheitsforscher die Weiterentwicklung der Kampagne dokumentiert und bestätigen die Einschätzung.

Bewährtes Schema, und gerade deshalb so erfolgreich

Die Kampagne folgt einem so bewährten wie erfolgreichen Schema, nämlich Benachrichtigungen von Post- und Paketdiensten nachzuahmen. Die Benutzer erhalten SMS-Nachrichten, die auf den ersten Blick normale Tracking-Benachrichtigungen zu sein scheinen. Hinter diesen vermeintlich harmlosen SMS-Nachrichten vermutet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Angriffswelle durch Smishing. Smishing ist eine spezielle Variante von Phishing-Angriffen via SMS. Wie beim Phishing werden beim Smishing gefälschte Nachrichten versandt, die zum Klicken auf einen Link verleiten sollen. In den aktuellen Fällen enthalten die SMS-Nachrichten meist einen Betreff wie „Ihr Paket kommt an“ oder ähnliches. Hinter der täuschend echten Tracking-SMS-Nachricht verbirgt sich dann der Trojaner. Sobald jemand den Link anklickt, ist er in der Lage auf dem Gerät Schadcode auszuführen.

Smartphones bieten ein hohes Maß an Flexibilität, und genau davon profitieren Cyberkriminelle. In den meisten Fällen versuchen Smisher, personenbezogene Daten zu stehlen. Oder sie verleiten Benutzer dazu, Malware herunterzuladen und zu installieren. Die Malware tarnt sich entweder als legitime App oder der in einer Smishing-Nachricht enthaltene Link führt zu einer gefälschten Website. Unmittelbar nach ihrer Installation beginnt die FluBot-Malware damit, die auf dem betreffenden Gerät installierten Apps zu tracken. Und die Schadsoftware kann so einiges: SMS-Nachrichten mitlesen und unterbrechen, SMS und automatisierte Spam-Listen an Kontakte versenden, Anrufe auslösen und Kontaktdaten abziehen, sie bietet Bildschirm-Overlays und Bildschirme zum Kreditkarten-Phishing , sie kann URLs öffnen, Apps deinstallieren und verfügt über etliche weitere Funktionen.

Was FluBot so gefährlich macht

FluBot ist bislang keiner bestimmten Gruppierung zuzuordnen, aber die Malware ist definitiv das Werk von Profis. Daten des Cybersicherheitsspezialisten Lookout zeigen, dass im Jahr 2020 fast 80% der Phishing-Angriffe das Ziel hatten, Malware einzuschleusen. Es ist nicht das erste Mal, dass FluBot im Rahmen einer Phishing-Kampagne als Payload verwendet wird. Das zeigt wie problematisch Malware-as-a-Service (MaaS) generell ist. Zu dieser Gruppe zählt beispielsweise auch BancamarStealer. Lookout beobachtete im Jahr 2018 7.700 Samples dieser Malware, mit Stand März 2021 sind es 74.000. FluBot hat zudem eine für eine Android-Malware eher ungewöhnliche Funktion. Die Malware verwendet nämlich einen Domain-Generierungs-Algorithmus (kurz DGA), der problemlos unterschiedliche Variationen eines bestimmten Domain-Namens erzeugen kann. Eine Taktik, die man als Domain-Fluxing bezeichnet. Das ist in etwa so als würde man eine Nadel (die IP des Command & Control-Servers) in einem Heuhaufen (einer sehr langen Liste von IPs) verstecken.

Bestandsaufnahme für Deutschland

Smishing-Kampagnen nehmen definitiv weiter zu. Das Thema nimmt nicht nur in der aktuellen Berichterstattung breiten Raum ein. Wir erhalten täglich Anrufe unserer Kunden, die aufgrund der Lage verunsichert sind. Darunter sehr viele, die bereits betroffen sind. Und betroffen ist in Deutschland die ganze Palette unterschiedlicher Branchen und Unternehmen aller Größenordnungen. Uns erreichen Anfragen von kleineren Mittelständlern ebenso wie von großen Zulieferern in der Automobilindustrie. Oftmals haben dort Benutzer auf die Links geklickt und die Kampagne hat sich bereits ausgebreitet. Phishing-Kampagnen dieser Art werden zunehmend personalisiert und individualisiert, was sie noch vertrauenswürdiger macht. FluBot bildet da keine Ausnahme. Man darf zudem getrost davon ausgehen, dass der aktuelle Facebook-Leak der Verbreitung solcher Kampagnen einen zusätzlichen Schub verliehen hat. Die in einem Hacker-Forum veröffentlichte Liste enthält schließlich Handynummern von einer halben Milliarde Nutzer.

Das BSI warnte zuletzt ausdrücklich vor aktuellen Smishing-Kampagnen und gibt Tipps wie man verhindert Opfer eines solchen Angriffs zu werden. Generelle Empfehlungen für Endnutzer sind, den Absender über das Betriebssystem zu sperren, Apps nur aus bekannten App-Stores herunterzuladen, die Installation von Apps aus unbekannten Quellen unter Android zu deaktivieren, Betriebssysteme stets auf dem aktuellen Stand zu halten und beim Mobilfunkanbieter die Drittanbietersperre zu aktivieren. Wenn „es“ schon passiert ist, sollte man nach einer Datensicherung das Smartphone auf Werkseinstellungen zurücksetzen. Ein unbequemer, aber notwendiger Schritt, um die Android-Schadprogramme vollständig zu entfernen.

Aus datenschutzrechlichen Gründen benötigt YouTube Ihre Einwilligung um geladen zu werden. Mehr Informationen finden Sie unter Datenschutz.
Akzeptieren

Was Sie sonst noch tun können

Inzwischen werden Smartphones nahezu flächendeckend im professionellen Unternehmenseinsatz verwendet. Damit ist Smishing für Unternehmen zu einer ernsthaften Bedrohung geworden.

Angesichts dieses Trends sollten Firmen nicht auf einen umfassenden Phishing- und Content-Schutz verzichten. Endpoint-to-Cloud-Sicherheitslösungen schützen vor Angriffen auf Android- und iOS-Geräte, und Admins bekommen zusätzlich Tools an die Hand, um mobile Endgeräte besser zu überwachen. Lösungen wie Lookout Mobile Endpoint Security versetzen uns in die Lage, unseren Kunden schnell und unkompliziert zu helfen und sie umfassend vor solchen Angriffen zu schützen.

Nutzen auch Sie die Möglichkeiten für Ihr Unternehmen und vereinbaren Sie gleich einen kostenlosen Beratungstermin.