Polizeipräsidium Neubrandenburg warnt vor Cybercrime per SMS

Artikel ansehen

man kanns nicht oft genug sagen: JEDEN TAG STEHT EIN DOOFER AUF!!! manchmal sinds auch mehrere…ich habe mal irgendwann vor jahren bei mehreren solchen ‚gewinnspielen‘ mitgemacht. natürlich fakedaten und unter angabe einer nicht genutzten handynr. was glaubt ihr, was ich da schon für sms und anrufe erhalten habe. dumm nur, das die karte in einem uralten tastentelefon betrieben wird! - und natürlich kenne ich die youtube clips von kay uwe mayer…habe darüber schon herzlichst gelacht…

Das ist natürlich eine Art Schneeballsystem, ganz klar! Nur…mal ernsthaft liebe Pozilei, wo seht ihr dabei einen Virus??
Ich würde fast behaupten, dass diese Aktionen zu einem größeren Feldtest gehören…da baut wohl jemand an einem neuen Handy-Botnetz inkl. der C&C-Server…?! :thinking:
Oder es geht um ein neues Feature für ein bestehendes Botnetz, oder dessen Planung für die zukünftige Entwicklung - Feldtest eben! :wink:
Die genannten Fakten deuten ja schon darauf hin:
Sobald man den Link öffnet, kommt die schwarze Seite (gibt keine Seite, da baut sich schlichtweg nur eine Verbindung zum C&C auf). Danach wird man mit Anrufen wegen des imaginären Pakets bombadiert, was aber eigentlich dazu dienen soll, kaskadierende Anwesenheits-Token ins Botnetz zu senden! Also auf gut deutsch: Wie viele Telefone stehen dem C&C zur Verfügung für seine Aktionen!
Diejenigen, die keine Verbindung aufbauen, werden dann quasi mit wiederholten Aufforderungen (SMS) penetriert, um an der Stelle die angestrebte Kaskade zu erweitern - folgt keine Reaktion, ist das Telefon raus!

Naja. Also muss nicht schon irgendeine Art von Schwachstelle ausgenutzt werden, damit durch einen Klick auf einen Link von deinem Handy hunderte SMS versendet werden? Ich finde, dazu kann man schon „Virus“ sagen.

1 Like

Grob gesprochen stimmt das schon, obwohl für mich persönlich ein „echter“ Virus eher einen komplexeren Aufbau hat! :wink:

Ich kenn mehrere Leute die in den letzten Tagen diese SMS bekommen haben.
Nur eine Person dieser Leute hat den Link angeklickt alle anderen waren vorsichtiger.
Beim anklicken des Links kam bei der besagten Person die Anzeige im Browser dass der Chrome Browser veraltet wäre und man ein Update laden soll. Das hat die Person dann auch gemacht.
Es wird darauf hin eine apk geladen die das Symbol des Chromes Browsers trägt aber beim installieren alle Berechtigungen abfragt. Vor allem hat es die App darauf abgesehen als Standard App für „SMS“ genhemigt zu werden.
Hat man bis hierher alles gutgläubig genehmigt beginnt die App nun in Schüben SMS zu versenden an wie es scheint zufällig gernerierte Nummern.

Die Person hat mir das Smartphone dann ausgehändigt als sie merkte dass SMS an wildfremde versendet werden. Ich habe dann im Download Ordner 9x die angebliche Chrome apk gefunden und einen weitere App die von Virustotal als „Banker Trojaner“ identifiziert wurde.
Also das steckt schon was dahinter, aber natürlich wird hier darauf gehofft Opfer zu finden die gutläubig alle Berechtigungen erteilen ohne nachzudenken.
Somit muss man schon selbst alle Alarmglocken ignorieren um hier infiziert zu werden.

Im Endeffekt haben wir das Gerät einen vollständigen wipe unterzogen und jetzt zur Sicherheit noch ein Antivirus installiert falls mal wieder versehntlich mutwillig Berechtigungen erteilt werden.

Seit meiner letzten Aussage bezüglich meines vermuteten Feldtests, um eine neue Art der Verbreitung von Schadsoftware zu testen, sind nun ca. acht Wochen vergangen.
Laut Heise hat die Firma ESET seit dem 15.03.2021 über die ESET Telemetrie festgestellt, dass über genau diesen Verbreitungsweg (siehe Artikel oben), also per SMS eines Paketlieferdienstes, der echt gefährliche Banking Trojaner FluBot in Deutschland verbreitet wird !! Die Infektionen nehmen momentan seit neun Tagen extrem zu !!

Die Sicherheitssoftware-Firma ESET warnt derzeit vor einer SMS-Spam-Kampagne, die unter anderem auf Android-Nutzer in Deutschland abzielt. Auf den ersten Blick handelt es sich bei den Nachrichten um Sendungsbenachrichtigungen für Pakete, typischerweise mit dem Wortlaut: „Ihr Paket kommt an, verfolgen Sie es hier“. Den enthaltenen Link sollten Nutzer allerdings keinesfalls anklicken: Laut ESET führt er zu Phishing-Websites, auf denen ein Banking-Trojaner lauert.

Laut ESET landen die SMS mit dem Schadcode mindestens seit dem 15. März, also seit Anfang vergangener Woche, auf Smartphones in Deutschland. Die Absender-Nummern variieren ebenso wie die URLS in den Nachrichten, denen allerdings – zumindest im Falle der Beispiele, die der Redaktion vorliegen – gemeinsam ist, dass sie nichts mit Paketdiensten zu tun haben. Ein (vorsichtshalber leicht verfremdetes) Beispiel ist etwa h****//a4hdepaage.cm/id/?9qk2e2b.

Malware tarnt sich als Paketverfolgungs-App:
Wie ESETs Blogeintrag zur Spam-Kampagne erläutert, führen die Links zu einer Website, die an jene des Logistikunternehmens FedEx erinnern soll; es existieren aber wohl auch Varianten mit Logos von DHL sowie des spanischen Unternehmens Correos. Dort wird der Nutzer aufgefordert, eine angebliche Tracking-App zu installieren. Bei dieser handelt es sich laut ESET wiederum um den Android-spezifischen Banking-Trojaner FluBot.

Den gesamten Vorgang vom Öffnen eines schädlichen Links bis zur vollständigen FluBot-Installation hat ESET-Mitarbeiter Lukas Stefanko in einem Video bei Twitter demonstriert. Damit sich der Trojaner vollständig auf dem System einnisten kann, sind demnach mehrere Nutzerinteraktionen in Gestalt des Erteilens von Berechtigungen notwendig. Zu diesen zählt laut ESET „das Einsehen von Benachrichtigungen, das Lesen und Schreiben von SMS-Nachrichten, das Abrufen der Kontaktliste sowie das Durchführen von Anrufen“.

SMS-Versand an kopierte Kontaktdaten:
FluBot habe es auf Daten aus Apps von Banken und Kryptowährungsbörsen abgesehen und verfüge etwa über die Fähigkeit, Einmalpasswörter für die Zwei-Faktor-Authentifizierung (2FA) aus SMS abzufangen. Auch Overlay-Angriffe, bei denen der Trojaner Benutzeroberflächen von (Banking-)Apps imitiert und ersetzt, seien möglich. Der Trojaner liest laut ESET Telefonnummern aus den Kontaktlisten seiner Opfer aus, um sich weiterzuverbreiten. Seit Anfang März seien Analysen zufolge „über 11 Millionen Telefonnummern gestohlen worden, hauptsächlich in Spanien“. Es habe „im Zusammenhang mit dem Fall“ bereits Festnahmen gegeben; die Verbreitung der Malware läuft aber ungestört weiter. Mit diesen gestohlenen Nummern konnte dann nun in DE der bemerkte Angriff durchgeführt werden!

Da eine Infektion mit FluBot voraussetzt, dass Betroffene die angebliche Banking-App aktiv installieren, bietet das Ignorieren (bzw. Löschen) verdächtiger SMS einen wirksamen Schutz vor dem Schadcode. (Quelle: Heise)