© REUTERS / MARKO DJURICA

Digital Life

Warnung vor neuer SMS-Betrugswelle mit Trojaner über Voicemail

Barbara Wimmer

Laut den SMS soll man den enthaltenen Link anklicken, um die neue Sprachnachricht anhören zu können.

Dieser Artikel ist älter als ein Jahr!

Das heimische CERT.at (Computer Emergency Response Team) warnt vor einer neuen, beginnenden Betrugswelle mit dem Trojaner FluBot. „Seit vergangener Woche werden betrügerische SMS mit Voicemail-Messages gesichtet“, erklärt Otmar Lendl von CERT.at im Gespräch mit der futurezone.

So kann die Nachricht mit der betrügerischen Voicemail aussehen

© Screenshot

Für Besitzer*innen von Android-Smartphones ist es höchst gefährlich, wenn diese auf den Link in der SMS klicken. User*innen landen auf einer Website und werden dazu aufgefordert, eine bestimmte App zu installieren, um die Nachricht abhören zu können. Diesem Aufruf sollte man auf gar keinen Fall nachkommen, so der CERT.at-Experte. „Stattdessen sollte man die SMS mit der vermeintlichen Voicemail-Nachricht sofort löschen.“

Voller Zugriff aufs Smartphone

Installiert man diese App der Betrüger*innen nämlich, verschafft man diesen damit Zugriff auf das gesamte Smartphone. „Das Ziel ist die komplette Kontrolle über das Handy. Das wird über die „Accessibility Service Permissions“ erreicht, mit denen Täter*innen das Gerät fernsteuern können“, so Lendl. Es wird damit nicht nur das gesamte Kontakt-Telefonbuch abgefragt, sondern es werden auch vom eigenen Handy aus SMS verschickt, um neue Opfer zu finden.

Da die SMS teilweise auch ins Ausland verschickt werden, können für die Smartphone-Besitzer*innen hohe Kosten anfallen. „Der Trojaner verschickt sehr, sehr viele SMS“, warnt Lendl.

Hohe Kosten für Auslands-SMS

Mobilfunker sind deshalb bereits auf FluBot aufmerksam geworden und überwachen ihre Verkehrsstatistiken genau. Wenn von einem Gerät spontan 20 bis 30 SMS ins Ausland verschickt werden, ohne dass dies vorher regelmäßig der Fall war, werden die Auslands-SMS gesperrt und die User*innen darüber informiert.

„Das ist im Sinne des Konsumentenschutzes, hier nicht einfach zuzuschauen und die Kassa klingeln zu lassen“, so Lendl. Die Mobilfunkprovider informieren die Kund*innen zudem darüber, dass sie wahrscheinlich Opfer eines Trojaners geworden sind.

Deinstallation im Safe Mode

FluBot wird man meistens nicht so einfach los. Die App lässt sich nicht simpel deinstallieren, das gelingt nur im sogenannten „Safe Mode“, wie die Schweizer CERT-Kolleg*innen in einem Blogposting schreiben. Wer die App im Safe Mode deinstalliert, ist FluBot aber wieder los. „Ansonsten hilft es nur, das Gerät in die Werkseinstellungen zurückzusetzen“, so Lendl.

FluBot ist nach wie vor ausschließlich für Android-Smartphones gefährlich. „Das liegt daran, dass Apple kein Sideloading zulässt“, so Lendl. Das bedeutet, dass Apple-User*innen keine Apps außerhalb des App Stores installieren können, womit diese Geräte-Besitzer*innen vor FluBot geschützt sind.

Ziel sind Online-Banking-Daten

Doch was wollen die Betrüger*innen eigentlich erreichen? Laut Lendl geht es am Ende dabei darum, Zugriff auf das Online-Banking der Smartphone-Besitzer*innen zu erhalten. Hierfür ist meist eine sogenannte Zwei-Faktor-Authentifizierung (2FA) aktiviert.

Doch da die Betrüger*innen mittels FluBot SMS und TAN-Codes abfangen können, ist es nicht sicher, ob die Online-Banking-Konten wirklich bei allen Banken gut genug geschützt sind. Dies ist für Kund*innen die zweite große Gefahr, neben dem Verschicken von kostenpflichtigen SMS ins Ausland.

Erste Welle mit Paket-SMS

Eine erste SMS-Welle mit FluBot hat es bereits im Mai diesen Jahres gegeben. Damals hatte auch die Polizei davor gewarnt. Als Trick wurde verwendet, dass ein Paket bald kommt und man „hier klicken“ solle, um das Tracking dazu aufzurufen.

Lendl warnt davor, dass die Betrüger*innen ihre Masche regelmäßig ändern. „Neben der Voicemail-Nachricht ist in Österreich derzeit auch ein SMS-Betrugsversuch mit der Nachricht, dass die SIM-Karte deaktiviert werden soll, wenn man nicht eine bestimmte App installiert, aktiv“, so Lendl.

Aus Belgien sei bekannt, dass dort ein Trick im Umlauf sei, der User*innen anspricht, die demnächst verreisen wollen. Aus Rumänien gebe es Berichte, wo der Instagram-Account von Nutzer*innen ins Visier genommen wurden. „Ich gehe davon aus, dass die Bande weiter kreativ sein wird, was die Variationen der Köder angeht, der die Opfer zum Installieren überreden soll“, so Lendl.

Grundregeln für Schutz

„Die 3 Grundregeln lauten: Man sollte nur das installieren, was man aus eigenem Antrieb braucht und sich nichts einreden lassen. Die Apps, die man hat, sollte man aktuell halten und alles was man nicht mehr braucht, deinstallieren.“

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 22.06.2021, 12:31 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Mehr zum Thema

Kommentare