Anzeige

Smartphone Scam

Cyberkriminalität gegen die Benutzer von Mobiltelefonen, ist proportional zu deren massenhafter Nutzung angestiegen. Im Fokus sind meist Android-basierte Geräte. Schlicht, weil es so viele davon gibt. Aber auch iPhone-Nutzer sind nicht vor Smishing und andere Bedrohungen gefeit.

Smartphones bieten ein hohes Maß an Flexibilität. Davon profitieren allerdings auch Cyberkriminelle. In den meisten Fällen versuchen Smisher, personenbezogene Daten zu stehlen. Genauso kommt es aber vor, dass sie ihre Opfer dazu verleiten, Malware herunterzuladen und zu installieren. Die Malware tarnt sich entweder als legitime App oder der in einer Smishing-Nachricht enthaltene Link führt zu einer gefälschten Website. Smartphones werden nahezu flächendeckend im professionellen Unternehmenseinsatz verwendet. Damit ist Smishing auch für Unternehmen zu einer ernsthaften Bedrohung geworden.

FluBot – Neue Banking-Malware macht weiter von sich reden 

Bereits im Dezember letzten Jahres tauchte eine neue Banking-Malware auf, die sich zunächst vornehmlich gegen Android OS-Nutzer in Spanien richtete, grundsätzlich sind aber iOS-Nutzer ganz genauso im Visier der Angreifer wie sich später zeigte. Nur die Taktik ist eine andere. Seit den ersten in „freier Wildbahn“ beobachteten Malware-Versionen von „FluBot“, benannt nach ihren grippeähnlichen Verbreitungswegen, wurde die Konfigurationsdatei seitdem mit etlichen neuen Funktionen aufgestockt. Erste Analysen wurden bereits im Januar veröffentlicht, und in der Folge haben mehrere Sicherheitsforscher die Weiterentwicklung der Kampagne dokumentiert und untersucht. Ein entscheidender Wendepunkt schien die konzertierte Aktion der spanischen Behörden mit PRODAFT zu sein. Am Tag als deren Analyse veröffentlicht wurde, gelang es nahezu zeitgleich vier der Verdächtigen zu verhaften. Die Infektionsrate ging zwar zurück, aber die Malware verbreitete sich weiterhin.

Die Kampagne folgt dabei einem so bewährten wie erfolgreichen Schema, nämlich Benachrichtigungen von Post- und Paketdiensten nachzuahmen. Die Benutzer erhalten SMS-Nachrichten, die auf den ersten Blick normale Tracking-Benachrichtigungen zu sein scheinen. Hinter diesen vermeintlich harmlosen SMS-Nachrichten vermutet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Angriffswelle durch Smishing. Smishing ist eine spezielle Variante von Phishing-Angriffen via SMS. Wie beim Phishing werden beim Smishing gefälschte Nachrichten versandt, die zum Klicken auf einen Link verleiten sollen. In den aktuellen Fällen enthalten die SMS-Nachrichten meist einen Betreff wie „Ihr Paket kommt an“ oder ähnliches. Hinter der täuschend echten Tracking-SMS-Nachricht verbirgt sich dann der Trojaner. Sobald jemand den Link anklickt, ist er in der Lage auf dem Gerät Schadcode auszuführen. 

Unmittelbar nach ihrer Installation beginnt die FluBot-Malware damit, die auf dem betreffenden Gerät installierten Apps zu tracken. Zu den Funktionalitäten von FluBot zählen:

  • SMS-Nachrichten mitlesen und unterbrechen
  • SMS-Nachrichten und automatisierte Spam-Listen an Kontakte versenden
  • Bildschirm-Overlays/Injects sowohl für Bank- und Kryptowährungs-Apps als auch Phishing-Bildschirme zum Kreditkarten-Phishing 
  • Kontaktdaten abziehen
  • Anrufe auslösen
  • URLs öffnen 
  • PlayProtect deaktivieren
  • USSD-Kommandos ausführen
  • Apps deinstallieren
  • SOCKS Proxy

Auch wenn FluBot bislang keiner bestimmten Gruppierung zuzuordnen ist, ist die Malware dennoch das Werk von Profis. Daten des Cybersicherheitsspezialisten Lookout zeigen, dass im Jahr 2020 fast 80 % der Phishing-Angriffe das Ziel hatten, Malware einzuschleusen. Es ist nicht das erste Mal, dass FluBot im Rahmen einer Phishing-Kampagne als Payload verwendet wird. Das zeigt wie problematisch Malware-as-a-Service (MaaS) generell ist. Zu dieser Gruppe zählt beispielsweise auch BancamarStealer. Lookout beobachtete im Jahr 2018 7.700 Samples dieser Malware, mit Stand März 2021 sind es 74.000. Flubot hat zusätzlich eine für eine Android-Malware eher ungewöhnliche Funktion. Die Malware verwendet nämlich einen Domain-Generierungs-Algorithmus (kurz DGA), der problemlos unterschiedliche Variationen eines bestimmten Domain-Namens erzeugen kann. Eine Taktik, die man als Domain-Fluxing bezeichnet. Das ist in etwa so als würde man eine Nadel (die IP des Command & Control-Servers) in einem Heuhaufen (einer sehr langen Liste von IPs) verstecken.

Jasin Mehovic, Senior Channel Account Manager DACH & Eastern Europe
Jasin Mehovic
Senior Channel Account Manager DACH & Eastern Europe, Lookout

Weitere Artikel

Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.