Trojaner: Europol übernimmt Infrastruktur von Android-Spyware
Gemeinsam mit Strafverfolgungsbehörden aus elf Ländern hat Europol die Infrastruktur der Android-Schadsoftware Flubot abgeschaltet. Laut Europol(öffnet im neuen Fenster) war Flubot eine der am schnellsten wachsenden Android-Malware-Operationen. Die Flubot-Gruppe nutzte meist trickreiche SMS, um ihre Opfer zum Öffnen eines Links und installieren der Schadsoftware zu verleiten.
Strafverfolgungsbehörden aus elf Ländern, darunter die Schweiz, die Niederlande und die USA, hätten "die kritischste Infrastruktur von Flubot nach einer komplexen technischen Untersuchung lokalisiert," teilte Europol mit. Die Server seien Anfang Mai von der niederländischen Polizei übernommen worden und die Malware damit inaktiv geworden. Demnach hat die niederländische Polizei zehntausend Opfer vom Flubot-Netzwerk getrennt und den Versand von über 6,5 Millionen Spam-SMS an potenzielle Opfer verhindert.
Verhaftungen soll es im Zuge der Beschlagnahmung der Infrastruktur nicht gegeben haben: "Die Untersuchung dauert an, um die Personen hinter dieser globalen Malware-Kampagne zu identifizieren," erklärte Europol. Laut dem Onlinemagazin Bleepingcomputer(öffnet im neuen Fenster) wurden bereits im März 2021 vier Verdächtige in Spanien festgenommen, die als Schlüsselpersonen hinter Flubot galten. Mit den Festnahmen wurde die Verbreitung der Schadsoftware allerdings nur vorübergehend unterbrochen. Nach kurzer Zeit kehrte sie demnach zurück und breitete sich auch weit über Spanien hinaus aus.
Flubot umgeht Androids Berechtigungssystem
Die Schadsoftware verbreitete sich über sogenanntes Smishing. Dabei werden SMS versendet, die ihre Opfer mittels Social Engineering zum Anklicken eines Links verleitet. Beispielsweise über vermeintliche Paketankündigungen , Hinweise zu ungewollt veröffentlichten privaten Fotos oder angeblich verpasste Sprachnachrichten .
Auf der Webseite werden die Opfer aufgefordert, eine App-Installationsdatei im .apk-Format herunterzuladen und zu installieren. Um diese zu installieren, müssen die Opfer mehrere, üblicherweise von Android eingeblendete Warnungen vor der Installation von Apps, die von fremden Webseiten stammen, ignorieren.
Einmal installiert, hebelt Flubot das Android-Berechtigungssystem über die Accessibility Services aus , wie eine Analyse der Schadsoftware durch die auf Mobilfunksicherheit spezialisierte Firma SRLabs zeigte. Auf diese Weise versuchte Flubot, die Zugangsdaten zu Banking-Apps und Kryptowährungen zu stehlen.