Vorsicht, falsche DHL-App: Android-Trojaner "Flubot" breitet sich aus

Der Banking-Trojaner "Flubot" ist weltweit auf dem Vormarsch – vor allem aber in Deutschland. Die Kriminellen nutzen Paket-Nachrichten und eine gefälschte DHL-App als Lockmittel, um die Schadsoftware auf die Mobilgeräte zu schleusen.

Laut einer Auswertung der IT-Sicherheitsfirma Bitdefender Labs breitet sich die Android-Malware "Flubot" rasant aus. Dabei liegt ein auffälliger Schwerpunkt in Deutschland: Laut Bitdefender sind inzwischen mehr als 60 Prozent der "Flubot"-Fälle in Deutschland zu verzeichnen.

Die Expertinnen und Experten führen den "Erfolg" der Malware hierzulande auf die Art und Weise zurück, wie sie auf die Geräte gelangt. Die Kriminellen tarnen den Banking-Trojaner nämlich als "DHL Express"-App und jubeln diese den Smartphone-Nutzerinnen und -Nutzern mit Hilfe von falschen Paket-Benachrichtigungen unter.

Diese Masche funktioniert aber nur auf Android-Geräten, da der Download nicht über den offiziellen Google Play Store gestartet wird, sondern über eine Webseite. Fachleute sprechen in diesem Zusammenhang von "Sideloading". Auf einem iPhone wird die Installation von Apps aus solchen unsicheren Quellen automatisch unterbunden.

Tipp: Apps nur aus dem Play Store beziehen

Android-Nutzerinnen und -Nutzer müssen darauf achten, dass sie Apps nur aus dem offiziellen Play Store beziehen. In den Sicherheits-Einstellungen ihres Smartphones können sie zudem festlegen, dass Apps aus "unbekannter Quelle" (oder "unbekannte Herkunft") nicht installiert werden dürfen. Die Internetkriminellen werden versuchen, ihre Opfer dazu zu bringen, diese Einstellung rückgängig zu machen.

Der Banken-Trojaner "Flubot", auch als Cabassous bekannt, ist weltweit aktiv. Die Malware greift Namen und Telefonnummern der Kontakte, SMS, Bankdaten und andere private Informationen ab. Darüber hinaus kann sie weitere Befehle ausführen und dadurch beispielsweise Anrufe tätigen, Nachrichten abhören oder schädliche SMS verschicken.

Malware verbreitet sich durch "Smishing" weiter

Gerade der letzte Punkt ist relevant, denn die Kriminellen können durch sogenanntes "Smishing" – also SMS-Phishing – massenhaft gefährliche Nachrichten mit schädlichen Links oder Anhängen verschicken. Aus Sicht der Empfängerinnen und Empfänger scheinen diese von einem persönlichen Kontakt zu kommen. Zum Teil enthalten sie sogar eine persönliche Anrede. Das weckt Vertrauen und erhöht das Risiko, dass weitere Geräte mit Malware infiziert werden.

In Deutschland geht es in den aktuell kursierenden SMS-Nachrichten meist um eine angebliche Paket-Lieferung. Der Empfänger oder die Empfängerin wird aufgefordert, die falsche DHL-App installieren, um die Sendung zu verfolgen. In Spanien, Italien und Großbritannien nutzen die Kriminellen eine ähnliche Masche – nur eben mit einer anderen App-Kopie, die den jeweils größten Postdienstleisters des Landes imitiert.