Flubot klopft an: Smishing-Nachrichten rund um nicht existente Pakete und fingierte Sprachnachrichten waren die Türöffner-«Spezialitäten» der Kriminellen. (Urheber/Quelle/Verbreiter: Till Simon Nagel/dpa-tmn)

Android-Nutzende können aufatmen: Internationalen Ermittlern ist es gelungen, das Netzwerk hinter dem gefährlichen Banking-Trojaner Flubot abzuschalten, wie Europol mitteilt.

Sie haben noch nie von Flubot gehört und auch noch nie einen finanziellen Schaden mit Ihren Bank- oder Kryptowährungskonten erlitten, für die ein Trojaner verantwortlich war? Das ist gut. Trotzdem dürften Sie zumindest schon von den Kampagnen gehört haben, mit denen die kriminellen Urheber Flubot seit Dezember 2020 recht erfolgreich verteilt haben.

Die gute alte Paket-Masche

Dabei versendeten sie schwerpunktmäßig Phishing-Nachrichten per SMS, auch Smishing genannt. Die Klassiker waren Kurznachrichten rund um nicht existente Pakete und fingierte Sprachnachrichten.

Um die angebliche Sendung etwa verfolgen oder die vermeintliche Nachricht anhören zu können, sollten Nutzerinnen und Nutzer dazu gebracht werden, auf einen Link in der SMS zu klicken, eine Anwendung zu installieren und sogar Berechtigungen zu erteilen.

Wer das tat, öffnete Flubot Tür und Tor: Die Schadsoftware versuchte dann, Zugangsdaten für Bank- und Kryptowährungskonten zu stehlen und sich über die Kontakte im Adressbuch weiter zu verbreiten.

Flubot heißt natürlich nicht Flubot

Flubot tarnt sich auf dem Smartphone als eine beliebige andere App und ist daher nur schwer zu identifizieren. Wer einen Verdacht hegt, sollte auf die betreffende App tippen und versuchen, sie zu deinstallieren, rät Europol.

Wenn sich die App nicht öffnet und beim Deinstallationsversuch eine Fehlermeldung angezeigt wird, handele es sich möglicherweise um Schadsoftware. Der einzige Weg sie loszuwerden: Das Telefon auf die Werkseinstellungen zurücksetzen.

Auch wenn Flubot nun erst einmal kaltgestellt ist: Das Ende von Smishing dürfte das wohl kaum bedeuten. Kriminelle werden weiter versuchen, Smartphone-Nutzerinne und Nutzern per SMS Daten abzujagen und Schadsoftware unterzujubeln.

Links antippen verboten

Doch mit wenigen, aber wichtigen Grundsätzen kann man sich schützen. Wie bei E-Mails gilt auch bei SMS: In Nachrichten, die man nicht erwartet hat, die von unbekannten Absendern stammen und die Handlungsdruck erzeugen oder Neugierde wecken, keine Links antippen. Besser die Nachricht gleich löschen.

Und gerade im Kontext von dubiosen E-Mails oder Kurznachrichten gilt: Fragt das Telefon, ob eine App installiert werden darf, auf keinen Fall bestätigen, warnt die Polizeiliche Kriminalprävention des Länder und des Bundes.