Flubot ist einer der "erfolgreichsten" Android-Trojaner: Über eine Fülle unterschiedlicher Tricks versuchen die Betreiber technisch weniger bewanderte User dazu zu bringen, sich die Schadsoftware selbst auf ihren Smartphones zu installieren. In Österreich sorgte dabei zuletzt vor allem der SMS-Paket-Schmäh für Aufsehen. Nun berichtet das neuseeländische CERT von einem neuen, besonders perfiden Trick.

Social Engineering

Flubot tarnt sich mittlerweile als Sicherheits-Update – und zwar als Sicherheits-Update gegen sich selbst. Auf Webseiten wird dabei Android-Usern ein Dialog präsentiert, in dem vor einer angeblichen Infektion mit Flubot gewarnt wird. Zur "Abhilfe" wird dann die Installation eines vermeintlichen System-Updates angeraten, das unter dem Eintrag verlinkt ist. In Wirklichkeit ist es erst jenes "Update", mit dem man sich dann Flubot einfängt.

Hintergrund

Das Ziel von Flubot ist das Ausspionieren von Informationen zum Online-Banking. Dazu liest der Trojaner bei entsprechenden Apps einfach die Eingabe von Log-in-Name und Passwort mit. Damit das klappt, müssen die Nutzer allerdings zuvor zahlreiche Sicherheitsfunktionen von Android deaktivieren. Das beginnt damit, dass von Haus aus die Installation von Apps aus "unbekannten Quellen" deaktiviert ist. Selbst wenn dies geändert wurde, warnt das System nochmal extra vor den damit einhergehenden Risiken.

Zudem muss dann der Spyware auch noch manuell der Zugriff auf Barrierfreiheitsfunktionen gewährt werden. Diese sind dazu gedacht, verschiedene Tools zur Steuerung für Menschen mit körperlichen Einschränkungen zu erlauben, werden aber wegen des tiefgreifenden Zugriffs auf die Inhalte am Bildschirm gerne von Schadsoftware missbraucht.

Tipps

All diese Abläufe erklärt die Schadsoftware zwar Schritt für Schritt, trotzdem sollte angesichts der Komplexität dieses Ablaufs eigentlich ein gewisser Verdacht aufkommen, dass hier etwas nicht richtig läuft.

Generell seien gegen solche Betrugsversuche zwei Tipps gegeben: Niemals den Zugriff auf die Barrierefreiheitsfunktionen geben, wenn es nicht wirklich um eine App speziell für diesen Zweck geht. Zudem gibt es unter Android keine Sicherheitsupdates, die via Webseiten verbreiten werden. Solche Aktualisierungen finden sich immer in den Systemeinstellungen, alles andere sind Betrugsversuche.

Mit dem kurz vor der Veröffentlichung stehenden Android 12 dürften solche Tricks übrigens erheblich schwerer werden – gibt Google damit doch Apps die Möglichkeit, die Nutzung von Overlays über den eigenen Inhalten generell oder für einzelne Dialoge auch gezielt zu verbieten. Bank-Apps, die das nutzen, könnten damit effektiv das Abgreifen von Log-in-Daten auf diesem Weg unterbinden. (apo, 4.10.2021)