Trojaner-Gefahr durch SMS  Das steckt hinter den falschen Paket-Nachrichten

Eine gefährliche Phishing-Welle schwappt durch Deutschland. Anders als sonst kommen die mit einem Link versehenen Lockbotschaften aber nicht per Mail, sondern per SMS. Wie sollten Betroffene damit umgehen?

"Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es." Diese leicht holprige, mit einem Link versehene SMS kursiert seit Januar und verbreitet mitunter eine gefährliche Android-Schadsoftware namens FluBot. Verschiedene Polizeibehörden der Bundesländer warnen schon seit Wochen eindringlich vor den Spam-Nachrichten. Zuletzt hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet – und spricht von SMS-Phishing, oder kurz "Smishing". Betroffen seien insbesondere Android-Nutzer.

(Quelle: Screenshot / t-online )

Mittlerweile existieren von der SMS verschiedene Varianten, wie zum Beispiel "Das Geschenk, das Sie gekauft haben, wurde per Express verschickt bitte überprüfen Sie http://....duckdns.org" oder "Ihr Paket wurde geliefert. Bitte Überprüfen und rechtzeitig akzeptieren. http://....duckdns.org. Statt dem duckdns.org-Link wird in manchen Varianten auch ein Link der Anbieter "shortrl.at" oder "tinyurl.com" genutzt.

Woher haben die Täter die Telefonnummern?

"In den letzten sieben Tagen sehen wir in Deutschland eine rasante Zunahme der Kampagne", sagt der Experte für Android-Malware Lukas Stefanko von der I T-Sicherheitsfirma Eset. "Neben Fake-Nachrichten von Fedex erhalten Anwender nun auch ähnliche Benachrichtigungen u.a. von DHL und anderen Dienstleistern."

(Quelle: Screenshot / t-online)

Die Masche ist vermutlich auch deshalb so erfolgreich, weil der Onlinehandel in der Corona-Krise boomt und viele Nutzer tatsächlich eine Lieferung erwarten.

Hinzu kommt das jüngste Datenleck bei Facebook, durch das Millionen Handynummern erneut in Umlauf gebracht wurden. Auch die Betrüger hinter der aktuellen Spam-Welle könnten sich hier bedient haben. "Der Einsatz solcher gestohlener Datensätze ist nicht unüblich und beschleunigt die Verbreitung der Schad-App enorm", bestätigt Stefanko. Dieser Artikel erklärt, wie Sie herausfinden können, ob Sie ebenfalls betroffen sind .

Ist der Empfang der SMS gefährlich?

Nein. Wer die Phishing-Nachricht erhalten und ignoriert hat, muss sich keine Sorgen machen, dass sich die Schadsoftware bereits auf dem Handy eingenistet hat.

Der Trojaner wird nicht unmittelbar installiert, sobald man auf den Link klickt. Stattdessen landen Nutzer zunächst auf einer Phishing-Seite, wo sie den Download selbst anstoßen müssen. Die Schadsoftware ist zum Beispiel als Paket-App getarnt.

In einem Twitter-Video zeigt Stefanko, dass die vollständige Installation der Schadsoftware mehrere Schritte umfasst. Nutzer müssen der App einige Zugriffsberechtigungen erteilen und dazu ihre Smartphone-Einstellungen anpassen.

Auf iPhones funktioniert der Download nicht – das Betriebssystem iOS verhindert die Installation von Apps aus fremden Quellen. Es besteht jedoch die Gefahr, dass auch iPhone-Nutzer über die falschen Paket-SMS auf dubiose Webseiten gelockt werden, wo sie ihre Zugangsdaten verraten oder in Abo-Fallen tappen können. Wer so eine Kurznachricht bekommt, löscht sie also am besten oder ignoriert sie.

Welchen Schaden verursacht der Trojaner?

Der Android-Trojaner ist laut dem BSI seit etwa November 2020 im Umlauf und hat es insbesondere auf Daten abgesehen, die bei Banking- oder Trading-Apps eingegeben werden. Außerdem will die Schadsoftware Kontaktdaten aus dem Adressbuch abgreifen, um weitere SMS zu verschicken. Das führt dazu, dass sich die Paket-SMS mit dem gefährlichen Link wie in einem Schneeballsystem verbreitet.

In Spanien soll es bereits Festnahmen im Zusammenhang mit der Spam-Kampagne gegeben haben. Die Gefahr ist dadurch jedoch längst noch nicht gebannt, glaubt Stefanko: "FluBot scheint in Untergrundforen als Malware-as-Service angeboten zu werden", sagt der Malware-Experte. "Die Täter scheinen die Infrastruktur des Banking-Trojaners lediglich gemietet zu haben."

Was tun, wenn man die Fake-App installiert hat?

Android-Nutzer, die schon eine SMS erhalten und auf den Link geklickt haben, sollten hellhörig werden. Besonders wenn sie massenhaft versendete SMS in ihrem Nachrichtenverlauf oder – verbunden mit hohen aufgelaufenen Kosten – auf ihrer Mobilfunkrechnung entdecken.

Denn dann ist die Wahrscheinlichkeit groß, dass man mit Tippen auf den SMS-Link die Installation eines Trojaners ausgelöst hat, der nun munter teure SMS verschickt – etwa an Sonder- und Premiumnummern oder in außereuropäische Länder.

Nun ist Handeln angesagt: Betroffene schalten ihr Smartphone am besten sofort in den Flugmodus, informieren ihren Mobilfunkprovider und lassen diesen eine sogenannte Drittanbietersperre einrichten. Das rät das Landeskriminalamt (LKA) Niedersachsen.

Falls noch nicht feststeht, ob Kosten entstanden sind, gilt es, das als nächstes zu prüfen. Ist etwa im Online-Kundenbereich keine Übersicht über den laufenden Monat oder über die vergangenen Monate möglich, kann man beim Provider einen Kostennachweis anfragen.

Anzeige erstatten und Beweise sichern

Als nächstes rät das LKA, Anzeige bei der örtlichen Polizeidienststelle zu erstatten. Dazu nimmt man zum einen das Smartphone mit. Zum anderen aber auch Screenshots beziehungsweise Fotos vom Display und – falls vorhanden – Kostennachweise.

Erst danach sollte der Trojaner vom Gerät entfernt werden. Dazu startet man das Smartphone im abgesicherten Modus. Wie das funktioniert, unterscheidet sich von Gerät zu Gerät. Die richtige Tastenkombination findet sich meist auf der Support-Webseite des Herstellers.

Spurensuche im abgesicherten Modus

Im abgesicherten Modus sucht man jene Apps, die zuletzt und nicht bewusst selbst installiert wurden. Diese Apps entfernt man und startet das Smartphone neu. Im schlimmsten Fall hilft aber nur das Zurücksetzen in den Auslieferungszustand.

Bevor dies geschieht, nicht vergessen, die Daten auf dem Gerät in einem Onlinespeicher (Cloud) oder auf einer Speicherkarte zu sichern. Dann geht man in den Einstellungen zum Punkt "Zurücksetzen" und wählt dann den Punkt, der "Auslieferungszustand (Alle Daten löschen)" oder ähnlich heißt.

Achtung: Bumerangeffekt bedenken

Wer anschließend seine Daten wieder aus einer Cloud-Sicherung aufs Gerät aufspielen möchte, sollte unbedingt darauf achten, dass keine Apps darunter sind. Sonst habe man den Trojaner gleich wieder auf dem Smartphone, warnen die Experten. Fehlende Apps lädt man stattdessen einzeln über Googles Play Store herunter.

Um solchen Angriffen vorzubeugen, sollte man in den Einstellungen unter "Sicherheit/Installationen von unbekannten Quellen" alle Schiebeschalter deaktivieren. Android-Banner, die vor Apps aus unbekannten Quellen warnen, nimmt man besser ernst.

Und was ist mit der Rechnung?

Wichtig: Frühzeitig mit dem Provider Kontakt aufnehmen und bei der Polizei Beweissicherung und Anzeige erledigen. Dann müssen Verbraucherinnen und Verbraucher den Teil der Handyrechnung, den der Trojaner verursacht hat, nicht bezahlen. Davor schützt sie das Telekommunikationsgesetz (TKG).

Denn im TKG (Paragraf 45i Absatz 4) heißt es: "Soweit der Teilnehmer nachweist, dass ihm die Inanspruchnahme von Leistungen des Anbieters nicht zugerechnet werden kann, hat der Anbieter keinen Anspruch auf Entgelt gegen den Teilnehmer. Der Anspruch entfällt auch, soweit Tatsachen die Annahme rechtfertigen, dass Dritte durch unbefugte Veränderungen an öffentlichen Telekommunikationsnetzen das in Rechnung gestellte Verbindungsentgelt beeinflusst haben."

So schützen Sie sich vor Spam-SMS

Einige Smartphones verfügen bereits über einen eingebauten Spam-Filter für SMS. Nutzer können den Spamschutz in den Einstellungen der Nachrichten-App aktivieren oder deaktivieren. Auf iPhones gibt es auch die Möglichkeit, Nachrichten von unbekannten Nummer zu blockieren.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels