Wohl noch nie haben die Bürger so viele Waren im Internet gekauft wie in den vergangenen Corona-Monaten. In manchen Haushalten klingelt der Postbote mittlerweile täglich. Darum dürften nicht wenige zuletzt auf Links in SMS-Nachrichten geklickt haben, die ihnen die Ankunft eines weiteren Paketes verhießen. Die SMS landen auf dem Handy mal auf Deutsch, mal auf Englisch. Mal wimmelt es in ihnen von Fehlern, mal heißt es ganz schlicht "Under Armour: Ihr Paket ist auf dem Weg mit UPS. Klicken Sie hier um das Paket zu verfolgen."
Manche Betroffene bekommen solche Nachrichten derzeit in großer Zahl. Die Absendernummern wirken eher harmlos, beginnen mit 0176 oder 0179 - so wie die vieler anderer SMS auch. Harmlos ist die SMS freilich nicht, zumindest dann nicht, wenn Nutzer den Aufforderungen im Text Folge leisten. Denn es handelt sich um eine auf Textnachrichten zugeschnittene Variante der bekannten Phishing-Methoden, mit denen kriminelle Hacker versuchen, beispielsweise an Bankdaten der Nutzer zu kommen.
Das sogenannte Smishing tritt in Wellen auf - mit immer neuen "Ansprechkontexten", wie es bei der Polizei heißt. Derzeit ist der Ansprechkontext die Paketzustellung. Das ist nicht nur perfide, weil derzeit so viele auf Pakete warten, sondern weil es auch meist vertraute Namen sind, die in diesen SMS auftauchen. DHL oder UPS kennt fast jeder. Manche Paketdienstleister verschicken zudem auch regulär SMS.
Neuerdings werden Handynutzer auch persönlich angesprochen
Die jüngste Welle setzte nach Angaben einer Vodafone-Sprecherin vor einigen Monaten ein. Eine Reihe von Kunden habe sich für weitere Informationen an die Kundenbetreuung gewandt. Im Bundesamt für Sicherheit in der Informationstechnik (BSI) sind die SMS ebenfalls gut bekannt. Häufig würden sie über das Android-Schadprogramm Flubot verbreitet, das etwa seit November 2020 im Umlauf sei. Und nicht immer sind die SMS unpersönlich formuliert: Seit den Ostertagen gibt es Fälle, in denen Handynutzer persönlich angesprochen werden. Die Flubot-SMS enthalten neben dem Text einen Link auf kompromittierte Webseiten. Android-Nutzer bekommen über den Link die Flubot-App zum Download angeboten, etwa in Form einer vermeintlichen Fed-Ex- oder DHL-App. Nutzer des Apple-Betriebssystems hingegen werden auf Werbe- oder Phishing-Seiten umgeleitet. Manche Nutzer wurden auch aufgefordert, Bank-Apps herunterzuladen.
Doch einfach so kommt eine schädliche App nicht auf das Handy. Möglich ist das erst, wenn die Nutzer die Installation der App explizit bestätigen, heißt es beim BSI. Wenn das passiert, kommt es anschließend meist zum massenhaften SMS-Versand vom eigenen Handy aus. Dabei werden auch die lokalen Kontakte ausgelesen, was dann wohl auch die persönliche Ansprache in manchen SMS ermöglicht. Besonders perfide ist, dass die Apps nach Installation auch noch echt aussehen können, wie Alexander Vukcevic, Chef des Avira Protection Labs beobachtet hat. Da steht dann etwa in roter Schrift DHL auf gelbem Hintergrund - das wiegt die Betroffenen zusätzlich in Sicherheit. Klicken diese auf die App und räumen ihr Rechte ein, lässt sich die App auf normalem Weg nicht mehr entfernen.
Hinter Flubot steckt nach Angaben von Vukcevic ein Banktrojaner, der versucht, an Login-Daten und Tan-Nummern zu kommen. Die App soll nicht nur in der Lage sein, das Aufrufen von Apps und Browserdaten zu verfolgen, sondern sie soll auch Gesprächsdaten und SMS protokollieren können.
Was Betroffene tun können
Ein Zusammenhang mit dem jüngst bekannt gewordenen Facebook-Datenleak, wie er derzeit des Öfteren in den Sozialen Medien vermutet wird, ist nach Angaben des Bundesinstituts nicht erkennbar. Vukcevic schließt ihn aber auch nicht aus. Es sei eine übliche Vorgehensweise, in großer Zahl gestohlene Daten im Internet zu kaufen.
Was sollen Betroffene nun tun, wenn sie versehentlich die App installiert haben? Andreas Marx, Chef des auf IT-Sicherheit spezialisierten Unternehmens AV-Test, rät Smartphone-Nutzern, ihr Gerät zunächst in den Flugmodus zu setzen, um jede Kommunikation der Betrugssoftware mit dem Internet zu unterbinden. Anschließend könnten sie in Ruhe per USB-Kabel Kontakte und Fotos sichern, bevor sie das Handy zum Beispiel auf die Werkseinstellungen zurücksetzten. Das BSI empfiehlt zudem, den Mobilfunkprovider zu informieren und Strafanzeige zu erstatten.