"Ihr Paket kommt an": Links in falschen Tracking-SMS führen zu Banking-Trojaner

Derzeit landen auf vielen Smartphones SMS mit angeblichen Sendungsbenachrichtigungen. Laut ESET lauert dahinter ein auf Android-Systeme zielender Trojaner.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen

(Bild: lisyl/Shutterstock.com)

Lesezeit: 3 Min.

Die Sicherheitssoftware-Firma ESET warnt derzeit vor einer SMS-Spam-Kampagne, die unter anderem auf Android-Nutzer in Deutschland abzielt. Auf den ersten Blick handelt es sich bei den Nachrichten um Sendungsbenachrichtigungen für Pakete, typischerweise mit dem Wortlaut: "Ihr Paket kommt an, verfolgen Sie es hier". Den enthaltenen Link sollten Nutzer allerdings keinesfalls anklicken: Laut ESET führt er zu Phishing-Websites, auf denen ein Banking-Trojaner lauert.

Laut ESET landen die SMS mit dem Schadcode mindestens seit dem 15. März, also seit Anfang vergangener Woche, auf Smartphones in Deutschland. Die Absender-Nummern variieren ebenso wie die URLS in den Nachrichten, denen allerdings – zumindest im Falle der Beispiele, die der Redaktion vorliegen – gemeinsam ist, dass sie nichts mit Paketdiensten zu tun haben. Ein (vorsichtshalber leicht verfremdetes) Beispiel ist etwa h****//a4hdepa**age.cm/id/?9qk2***e2b*.

(Bild: ESET via Twitter)

Wie ESETs Blogeintrag zur Spam-Kampagne erläutert, führen die Links zu einer Website, die an jene des Logistikunternehmens FedEx erinnern soll; es existieren aber wohl auch Varianten mit Logos von DHL sowie des spanischen Unternehmens Correos. Dort wird der Nutzer aufgefordert, eine angebliche Tracking-App zu installieren. Bei dieser handelt es sich laut ESET wiederum um den Android-spezifischen Banking-Trojaner FluBot.

In Stefankos Beispiel-Video sieht man eine gefälschte FedEx-Website mit Installationsaufforderung.

(Bild: ESET / Twitter)

Den gesamten Vorgang vom Öffnen eines schädlichen Links bis zur vollständigen FluBot-Installation hat ESET-Mitarbeiter Lukas Stefanko in einem Video bei Twitter demonstriert. Damit sich der Trojaner vollständig auf dem System einnisten kann, sind demnach mehrere Nutzerinteraktionen in Gestalt des Erteilens von Berechtigungen notwendig. Zu diesen zählt laut ESET "das Einsehen von Benachrichtigungen, das Lesen und Schreiben von SMS-Nachrichten, das Abrufen der Kontaktliste sowie das Durchführen von Anrufen".

FluBot habe es auf Daten aus Apps von Banken und Kryptowährungsbörsen abgesehen und verfüge etwa über die Fähigkeit, Einmalpasswörter für die Zwei-Faktor-Authentifizierung (2FA) aus SMS abzufangen. Auch Overlay-Angriffe, bei denen der Trojaner Benutzeroberflächen von (Banking-)Apps imitiert und ersetzt, seien möglich. Der Trojaner liest laut ESET Telefonnummern aus den Kontaktlisten seiner Opfer aus, um sich weiterzuverbreiten. Seit dem fünften März seien Analysen zufolge "über 11 Millionen Telefonnummern gestohlen worden, hauptsächlich in Spanien". Es habe "im Zusammenhang mit dem Fall" bereits Festnahmen gegeben; die Verbreitung der Malware läuft bislang aber weiter.

Da eine Infektion mit FluBot voraussetzt, dass Betroffene die angebliche Banking-App aktiv installieren, bietet das Ignorieren (bzw. Löschen) verdächtiger SMS einen wirksamen Schutz vor dem Schadcode.

(ovw)