Die SMS-Nachrichten, die derzeit fast kein Handy verschonen, enthalten eine simple Botschaft: «Neue Voicemail», steht drin, gefolgt von einem Link. Dieser Link führt jedoch nicht zu einer Sprachmitteilung, sondern auf eine Website, die versucht, das Telefon mit «Flubot» zu infizieren.

Flubot ist eine Schadsoftware, die versucht, persönliche Daten zu stehlen. Der Trojaner kopiert das Adressbuch, damit er sich weiterverbreiten kann. Und er hat es auf die SMS abgesehen, mit denen zur Absicherung vieler Log-ins ein Einmalcode zugestellt wird. Mittels Flubot könnte daher die Zwei-Faktor-Authentifizierung fürs Onlinebanking, für Onlineshops oder Kryptowährungs-Handelsplätze abgegriffen werden.

Gefahr für Android-Handys

Diese Betrugsmasche wird «Smishing» genannt, eine Kurzform für «SMS-Phishing» beziehungsweise Datendiebstahl per SMS. «Smishing» und eine reale Gefahr für Android-Nutzer. Bei Telefonen mit anderen Betriebssystemen ist sie wirkungslos.

Dennoch ist es auch bei denen besser, den Link nicht aufzurufen, sondern die Nachrichten sofort zu löschen. Das gilt generell für Links, die Sie derzeit per SMS erhalten, denn es gibt auch Varianten der Schadsoftware, in denen keine Voicemail in Aussicht gestellt wird, sondern eine Paketzustellung zum Beispiel per DHL, die man angeblich über den mitgelieferten Link nachverfolgen könne.

Zum Schutz vor dieser Schadsoftware sollten Android-Anwender folgende Dinge tun:

Stellen Sie sicher, dass Ihr Gerät auf dem neuesten Stand ist; installieren Sie Updates umgehend.

Verbieten Sie Ihrem Android-Gerät, dass Software am Store vorbei installiert werden kann – das ist nämlich die Methode, mit der die Schadsoftware aufs Gerät gelangt. Wo diese Einstellung zu finden ist, variiert nach Hersteller und Modell; suchen Sie in den Einstellungen nach «Apps aus unbekannten Quellen» oder «Unbekannte Apps installieren». Die Option lässt sich entweder global deaktivieren oder Sie müssen sie für jede einzelne App, insbesondere Browser, abschalten.

Beachten Sie unsere generellen Tipps im Beitrag So bleibt das Smartphone sicher. Hier finden auch iPhone-Nutzerinnen und Nutzer nützliche Hinweise zu Schutzmassnahmen.

Das Verbot, Apps aus unbekannter Quelle zu installieren, ist eine entscheidende Sicherheitsmassnahme. Wichtig: Keine App, insbesondere kein Browser, sollte diese Berechtigung haben. Falls Sie sie aus irgendeinem Grund benötigen, sollten Sie sie nur temporär gewähren und hinterher unbedingt wieder deaktivieren. Screenshot: schü

Sollten Sie als Android-Nutzer oder -Nutzerin bereits auf den Link geklickt haben, dann müssen Sie unbedingt handeln. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in solchen Fällen folgende Dinge:

Schalten Sie das Gerät in den Flugmodus, damit sich das Virus nicht weiter per SMS verbreiten kann.

Kontrollieren Sie die Dienste, über die Sie Codes zum Einloggen per SMS erhalten, besonders Onlinebanking und Zahlungsdienstleister, und stellen Sie sicher, dass keine unautorisierten Abbuchungen stattgefunden haben.

Führen Sie eine Sicherung aller wichtigen Daten durch und setzen Sie das Telefon auf die Werkeinstellungen zurück. Das ist zwar eine radikale Massnahme, aber sie ist bei einer so aggressiven Schadsoftware angezeigt.

Das BSI rät auch dazu, Anzeige bei der Polizei zu erstatten: Das sollten Sie unbedingt tun, wenn Abbuchungen stattgefunden haben oder befürchtet werden müssen. In diesem Fall sollten Sie daas Telefon erst zurücksetzen, nachdem Sie Anzeige erstattet haben, da das Telefon als Beweismittel dient. Ausserdem sollten Sie Ihren Mobilfunkanbieter kontaktieren; er kann allenfalls zu weiteren Schutzmassnahmen raten.

In allen europäischen Ländern aktiv

Die Details zu Flubot beschreibt die Stiftung Switch, die für die Vernetzung der Schweizer Hochschulen zuständig ist, in einem Post im Sicherheitsblog. Demnach wurde die Schadsoftware, die auch unter den Bezeichnungen «Cabassous» und «FakeChat» gehandelt wird, zum ersten Mal im Dezember 2020 beobachtet. Sie war ursprünglich in Spanien, Ungarn und Polen unterwegs, wurde seitdem aber so weiterentwickelt, dass sie inzwischen in sämtlichen europäischen Ländern kursiert.

Über diesen Dialog fordert die Schadsoftware den Nutzer auf, ihm weitgehende Berechtigungen einzuräumen. Screenshot: switch.ch

Wenn Android-Nutzer auf den Link klicken, wird versucht, die bösartige App auf dem Gerät zu installieren. Nutzer anderer Betriebssysteme, zum Beispiel bei iPhone, werden auf eine betrügerische Website umgelenkt. Nach der Installation fordert die App die Berechtigung an, die Bedienungshilfen (Accessibility) nutzen zu können. Da diese sehr weitreichend sind, kann die Schadsoftware sich dann weitere Berechtigungen zuweisen und erhält die Möglichkeit, sich zur Standard-SMS-App zu machen, das Adressbuch auszulesen und Benachrichtigungen abzugreifen oder zu blockieren.

