Spam-SMS "Ihr Paket kommt an...."

[razor34]

Was passiert eigentlich wenn man draufdrückt? Nur Phishing oder hat man direkt Schadsoftware aufem Handy

[w.erik]

Man soll sich dann irgendwo einloggen. Bekannte haben nämlich draufgeklickt. Wer dann natürlich echte Zugangsdaten z.B. von Facebook eingibt, dem ist wirklich nicht mehr zu helfen.

[stefan93]

Ich blockiere solche Nummern immer und melde Sie als Spam. Weil die irgendein Virus oft haben und dann das Handy nicht mehr geht...

[markpeter]

Die Bundesnetzagentur kümmert sich um solche Fälle und das mit steigendem Erfolg. Unter https://www.bundesnetzagentur.…Faell...pam/start.html könnt Ihr das melden und die Aussicht ist wirklich nicht schlecht, diejenigen die uns nerven damit kräftig zurück zu nerven.

[Jens]

Zitat:

Zitat von razor34

Was passiert eigentlich wenn man draufdrückt? Nur Phishing oder hat man direkt Schadsoftware aufem Handy

Servus,

ich hab mir die letzten Tage das ganze einmal angeschaut, da ich selber seit letzte Woche bald täglich diese SMS bekomme.

Wichtig: das nachfolgende ist der aktuelle IST-Zustand bei den von mir getesteten URLs. Auf KEINEN FALL (!) sollte man diese Links anklicken, da sich der Inhalt und damit das Angriffsszenario sich ändern kann. Das Risiko ist es nicht wert ... lasst es sein, auch wenn ihr vielleicht neugierig seit. Es gibt Fachseiten, auf denen man sich über diese Art von Angriffe informieren kann.

Aber nun zu den von mir per SMS erhaltenen Links:

Zuerst - es ist Absicht, dass ich bestimmte Informationen (z.B. Links, verwendete Browserkennungen etc. hier nicht veröffentliche).

Ruft man die URLs direkt von einem normalen Desktop-Browser sieht man nur eine leere Seite. Dies führt unter anderem dazu, dass z.B. eine potentielle Seiten-Vorschau im SMS Client kein Inhalt anzeigen kann.

Interessant wird es, wenn man alternative Useragents verwendet (also unterschiedliche Browser-Kennungen). Verwendet man zum Beispiel die Browserkennung einer typischen Google Chrome Installation auf einem Android Smartphone ändert es sich plötzlich alles. Es erscheint eine vermeinte Seite von DHL, UPS oder FedEx, auf dem ein Link zum vermeintlichen Paket-Tracking Tool des Versanddienstes zu finden ist.

Installiert man die vermeintliche Paket-Tracking App von DHL. Die App fordert dabei folgende Rechte an:

• android.permission.SEND_SMS
• android.permission.READ_PHONE_STATE
• android.permission.WRITE_SMS
• android.permission.CALL_PHONE
• android.permission.RECEIVE_SMS
• android.permission.INTERNET
• android.permission.READ_CONTACTS
• android.permission.READ_SMS
• android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZA TIONS
• android.permission.QUERY_ALL_PACKAGES
• android.permission.REQUEST_DELETE_PACKAGES
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.WAKE_LOCK
• android.permission.FOREGROUND_SERVICE

Mangels weitergehende Tests kann nicht sagen, ob diese Rechte tatsächlich angefordert werden oder ob durch eine oder mehrere Lücken diese Abfrage umgangen wird.

Nur was wird installiert? Bei den Rechten kann man es sich fast schon denken, um was es sich dreht. Insbesondere das Recht für das empfangen, verändern und senden von SMS ist verräterisch.

Es handelt sich um nichts anderes als ein Homebanking-Trojaner mit dem Namen Flubot, der einem "behilflich" ist beim leeren des eigenen Bankkonto.

Details zu Flubot findet ihr übrigens u.a. unter:
https://www.welivesecurity.com/deuts...t-paketstatus/

Falls jemand von euch Fragen zu dem Trojaner hat, kann er sich gerne hier im Thread melden oder mich per PN anschreiben.

Gruß,
Jens

[Knorr]

Zum Glück nur einmal aber mal ehrlich, wer klickt sowas an und warum?

Wenn ich ein Paket erhalte, dann muss ich nichts anklicken, dann weiß ich das auch so.

[Jens]

Zitat:

Zitat von Knorr

Zum Glück nur einmal aber mal ehrlich, wer klickt sowas an und warum?

Wenn ich ein Paket erhalte, dann muss ich nichts anklicken, dann weiß ich das auch so.

ja, allerdings funktioniert dieser "Trick" - wenn auch in abgewandelter Form - schon seit vielen Jahren. Eine Zeit lang (aktuell nicht mehr so verstärkt) wurde über Fake-Seiten bekannter Programme Malware/Adware verbreitet. Die Seiten wurden durch verschiedene Techniken bei Suchmaschinen relativ weit oben platziert, sodass viele die z.B. nach VLC, OpenOffice suchten entsprechende Malware/Adware erhalten haben.

Im Endeffekt nutzte das den gleichen Mechanismus. Die Leute sehen das Logo und haben die notwendige App nicht installiert. Das Logo suggeriert scheinbar automatisch: es ist vom Paketdienstleister selber und wird angeklickt. Die vielen Sicherheitsabfragen wiederum ist "man" ja gewöhnt einfach abzunicken. Schon ist die Software drauf ...

Klar, die meisten fallen darauf nicht hinein, aber es sind immer noch mehr als genügend Leute, bei denen der oben genannte Mechanismus funktioniert. Damit rechnet sich das ganze für die Leute ...

Es ist im Endeffekt das gleiche wie mit den "Ich hab dich via Kamera ausspioniert "-Bitcoin-Scam Mails. Der größte Teil der Leute fällt nicht darauf hinein, aber immer wenn ich mir die in den Mails erwähnten Bitcoin-Adressen in der Blockchain anschaue finden sich Leute, die darauf hineinfallen. Ich hatte auch schon Kunden, die total aufgelöst angerufen haben und mich fragten, ob sie vielleicht wirklich beobachtet wurden und woher sie schnell Bitcoins bekommen. Kein Scherz ...

Gruß,
Jens