Einzelnen Beitrag anzeigen
  #14  (Permalink
Alt 08.04.2021, 15:25
Benutzerbild von Jens
Jens Jens ist offline
Administrator - jdu
 
Registriert seit: 01.02.1999
Ort: Karlsdorf-Neuthard
Alter: 43
Beiträge: 8.610
Provider: Vodafone (Unitymedia BW)
Bandbreite: 550Mbit / 50Mbit
Standard AW: Spam-SMS "Ihr Paket kommt an...."

Zitat:
Zitat von razor34 Beitrag anzeigen
Was passiert eigentlich wenn man draufdrückt? Nur Phishing oder hat man direkt Schadsoftware aufem Handy
Servus,

ich hab mir die letzten Tage das ganze einmal angeschaut, da ich selber seit letzte Woche bald täglich diese SMS bekomme.

Wichtig: das nachfolgende ist der aktuelle IST-Zustand bei den von mir getesteten URLs. Auf KEINEN FALL (!) sollte man diese Links anklicken, da sich der Inhalt und damit das Angriffsszenario sich ändern kann. Das Risiko ist es nicht wert ... lasst es sein, auch wenn ihr vielleicht neugierig seit. Es gibt Fachseiten, auf denen man sich über diese Art von Angriffe informieren kann.

Aber nun zu den von mir per SMS erhaltenen Links:

Zuerst - es ist Absicht, dass ich bestimmte Informationen (z.B. Links, verwendete Browserkennungen etc. hier nicht veröffentliche).

Ruft man die URLs direkt von einem normalen Desktop-Browser sieht man nur eine leere Seite. Dies führt unter anderem dazu, dass z.B. eine potentielle Seiten-Vorschau im SMS Client kein Inhalt anzeigen kann.

Interessant wird es, wenn man alternative Useragents verwendet (also unterschiedliche Browser-Kennungen). Verwendet man zum Beispiel die Browserkennung einer typischen Google Chrome Installation auf einem Android Smartphone ändert es sich plötzlich alles. Es erscheint eine vermeinte Seite von DHL, UPS oder FedEx, auf dem ein Link zum vermeintlichen Paket-Tracking Tool des Versanddienstes zu finden ist.

Installiert man die vermeintliche Paket-Tracking App von DHL. Die App fordert dabei folgende Rechte an:
  • android.permission.SEND_SMS
  • android.permission.READ_PHONE_STATE
  • android.permission.WRITE_SMS
  • android.permission.CALL_PHONE
  • android.permission.RECEIVE_SMS
  • android.permission.INTERNET
  • android.permission.READ_CONTACTS
  • android.permission.READ_SMS
  • android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZA TIONS
  • android.permission.QUERY_ALL_PACKAGES
  • android.permission.REQUEST_DELETE_PACKAGES
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.WAKE_LOCK
  • android.permission.FOREGROUND_SERVICE

Mangels weitergehende Tests kann nicht sagen, ob diese Rechte tatsächlich angefordert werden oder ob durch eine oder mehrere Lücken diese Abfrage umgangen wird.

Nur was wird installiert? Bei den Rechten kann man es sich fast schon denken, um was es sich dreht. Insbesondere das Recht für das empfangen, verändern und senden von SMS ist verräterisch.

Es handelt sich um nichts anderes als ein Homebanking-Trojaner mit dem Namen Flubot, der einem "behilflich" ist beim leeren des eigenen Bankkonto.

Details zu Flubot findet ihr übrigens u.a. unter:
https://www.welivesecurity.com/deuts...t-paketstatus/

Falls jemand von euch Fragen zu dem Trojaner hat, kann er sich gerne hier im Thread melden oder mich per PN anschreiben.

Gruß,
Jens
__________________
Adam Savage, Mythbuster: "I reject your reality and substitute my own"
« Eigene Projekte: dein-ip-check.de, kostenloses iPhone App und Mein Blog»
Mit Zitat antworten