Im Zuge von Untersuchungen zur Malware „FluBot“ hat das Cyber-Security-Forscherteam „f5 Labs“ nun die neue Schadsoftware „MaliBot“ entdeckt, die sich derzeit in Europa per SMS-Phishing (kurz: Smishing) auf Android-Geräten verbreitet.

Was ist Smishing?

Beim Phishing setzen Hacker:innen auf die detailgetreue Imitation von E-Mails und Websites. Phishing via SMS wird umgangssprachlich „Smishing“ genannt.

Die Malware ist besonders gefährlich, denn sie kann sogar die als sehr sicher geltende Multi-Faktor-Authentisierung der Nutzer:innen umgehen.

 

In der Folge können sich Hacker:innen Zugriff zu diversen persönlichen Onlinekonten und Zugänge zu Bank- und Krypto-Accounts verschaffen.

MaliBot: Wie die Malware Android-Handys infiziert

Zunächst einmal nutzt die Schadsoftware das SMS-Postfach als Einfallstor für Cyber-Attacken. Betroffen sind Android-Nutzer:innen, die in einer SMS dazu aufgefordert werden, einen bestimmten Link anzuklicken. Bislang bekannt ist, dass diese Links auf zwei verschiedene Seiten mit vermeintlichen Kryptowährungs-Angeboten führen.

Auf einer Seite namens „Mining X“ lauert der Malware-Download hinter einem QR Code. Im anderen Fall wird der vermeintliche Download der App „TheCryptoApp“ beworben. Diese App gibt es zwar tatsächlich als legitime Anwendung im Google Play Store. Im Falle des SMS-Links handelt es sich jedoch um eine Fälschung.

Scannen Nutzer:innen den QR-Code oder klicken auf den Download-Link, installiert sich die Schadsoftware MaliBot und bittet dann die Betroffen um umfassende Zugriffsberechtigungen auf das Smartphone, darunter auch den Zugriff auf die Screenshot-Funktion.

In der Folge kann MaliBot dann unter anderem eigenständig SMS versenden und sensible Informationen wie Bankdaten ausspähen. Besonders perfide ist dabei die Aushebelung der Multi-Faktor-Authentisierung.

So hebelt MaliBot die Multi-Faktor-Authentisierung aus

Dienste wie etwa Google-Accounts werden vorrangig durch eine Zwei-Faktor-Authensierung geschützt. Das bedeutet, dass der Login-Prozess nicht allein durch ein Passwort abgesichert ist, sondern Nutzer:innen zusätzlich noch durch eine zweite Maßnahme ihre Identität bestätigen müssen. Das kann etwa ein zusätzlicher Sicherheitscode sein, den Nutzer:innen auf ihrem Smartphone erhalten.

MaliBot kann diese zweite Sicherheitsschranke überwinden. Wenn Nutzer:innen der Schadsoftware weitreichende Zugriffsberechtigungen auf dem Handy erteilt haben, kann die Malware dieses nämlich fremdsteuern. Konkret sieht das wie folgt aus:

MaliBot macht auch vor Zwei-Faktor-Authentisierungen nicht Halt. Quelle: f5 Labs.

MaliBot versucht sich mit ausgespähten Zugangsdaten in einen Account einzuloggen und löst damit die Zwei-Faktor-Authentisierung aus. Auf dem Smartphone-Bildschirm erhalten Nutzer:innen dann eine Mitteilung mit der Frage, ob sie sich gerade versucht haben einzuloggen.

Die Schadsoftware kann an dieser Stelle eigenständig auf den „Ja“-Button klicken. Wird im Anschluss ein Sicherheitscode versendet, kann MaliBot auch diesen Code auslesen und eigenständig in den Login-Prozess übertragen, um sich einen Zugang zu dem Account zu verschaffen.

Breites Spektrum an Angriffsmöglichkeiten

Auf ähnliche Weise umgeht MaliBot laut „f5 Labs“ auch die geschützten Zugänge zu Krypto-Wallets, um beispielsweise Bitcoins zu stehlen. Im Visier der Angreifer ist allerdings neben den sensiblen Nutzer:innen-Daten auch der SMS-Versand. Ähnlich wie bereits bei FluBot, kann auch MaliBot eigenständig SMS versenden, um die Schadsoftware an die Kontakte betroffener Nutzer:innen zu verschicken und damit großflächig zu verbreiten.

Auch wenn die MaliBot-Vorfälle bislang lediglich bei Kund:innen spanischer und italienischer Banken bekannt sind, besteht laut Forscherteam eine hohe Wahrscheinlichkeit, dass sich die Malware auf weitere Angriffsziele ausweiten wird.

So schützen Sie sich vor Smishing-Angriffen

Analog zum Phishing sollten Sie auch beim Smishing folgende Punkte beachten, um sich zu schützen:

  1. Seien Sie stets skeptisch bei Nachrichten von unbekannten Absender:innen. Weil infizierte SMS auch von bekannten Kontakten stammen können, sollten Sie hier nochmals nachfragen, ob eine Nachricht mit einer Einladung zu einer App tatsächlich von Freund:innen, Familienmitgliedern oder Kolleg:innen stammt.
  2. Öffnen Sie niemals Links in verdächtigen Nachrichten. Smishing-Nachrichten erkennen Sie daran, dass sie meist Handlungsdruck erzeugen oder neugierig machen – schließlich sollen sie Nutzer:innen zum Klicken animieren. Kommt Ihnen eine Nachricht dubios vor, löschen sie diese einfach unmittelbar.
  3. Sollten Sie doch in die Falle tappen, informieren Sie umgehend die Verbraucherschutzzentralen. Sollten Sie bemerken, dass Ihnen Daten gestohlen wurden oder kommt es zu ungewöhnlichen Aktivitäten auf Ihren Banking-Konten, erstatten Sie Anzeige bei der Polizei.
Mit dem DsiN-Digitalführerschein (DiFü) lernen, wie man Smishing und Phishing erkennt und sich dagegen wehrt!