Anzeige
SECURITY31. Januar 2022

100.000 neue FluBot Angriffe: Deutschland im Visier

Allein seit Ende Dezember hat Bitdefender über 100.000 Flubot-Angriffe registriert. Auffallend ist, wie stark Deutschland betroffen ist. Nur Australien war als einziges Land noch stärker betroffen. Die kriminellen Akteure passen ihre Kampagnen kontinuierlich an und locken mit neuen Inhalten. Auch verlagern sie den Schwerpunkt der Angriffe zwischen verschiedenen Ländern und Zeitzonen. Schwerpunkt sei jetzt Europa.

Flubot
Bitdefender

Wie im Januar bereits von Biocatch angekündigt (mehr dazu hier), macht der Banking-Trojaner FluBot seit Dezember letzten Jahres erhebliche Probleme und wird die Banken 2022 weiter beschäftigen. Auch TeaBot oder die betrügerische SMS mit dem lockenden Betreff „Bist das du in dem Video?“ sind Beispiele für Phishing-Kampagnen, welche die kriminellen Betreiber periodisch immer wieder neu ausspielen. Das Ziel sei dabei immer das gleiche: Es geht hauptsächlich darum, Informationen über Online-Banking von infizierten Geräten auszulesen.

Technisch bieten die Malware-Arten ein Arsenal von Kommandos. Dank diesen können die Hacker ganz einfach den Versand verschiedener Inhalte als SMS durch einen Command-and-Control-Server veranlassen. Die Host-Domains des “Droppers” bleiben dabei gleich. Dadurch könnten die Cyber-Kriminellen flexibel nacheinander Kunden verschiedener Banken angreifen und Inhalte sowie Funktionalitäten anpassen.

Verschiedene FluBot-Köder

Hauptinhalt der bösartigen SMS, die die FluBot-Malware verbreiten, sind laut Bitdefender mit 51,85 % vermeintliche Nachrichten von Paket-Diensten, gefolgt von einem Betreff mit der Frage: „Bis das Du auf dem Video?“ (25,03 %). Dieses bekannte, bisher über den Facebook-Messenger ausgeführte Phishing wurde nun Teil einer FluBot-Phishing-Kampagne. Die Opfer würden zuerst eine SMS mit dem Betreff erhalten. Um das Video anschließend sehen zu können, werden sie dazu aufgefordert, ein vermeintliches Flash- oder Betriebssystem-Update zu installieren und erhalten so den Banking-Trojaner.

Bitdefender

Weniger verbreitet seien falsche Browser Updates, Sprachnachrichten und Updates von Betriebssystemen. Nachgebaute Apps (auch falsche Antivirus-Apps) oder auch Erwachseneninhalte sind seltener ein Aufhänger für FluBot. Auffällig: Corona-Inhalte spielen aktuell keine Rolle mit nur 0,09 %.

Wechselnde Versandgebiete

Die FluBot-Operateure wechseln ihre Zielgebiete in auffällig kurzer Zeit – häufig bereits nach wenigen Tagen. Im Dezember war neben Australien die Kampagne auch in Deutschland (Platz 2 mit 32,23 %), Spanien, Italien und anderen europäischen Ländern aktiv.

Seit Januar verlagere sich der Schwerpunkt zunehmend auf Polen, die Niederlande und Rumänien. Insgesamt bleibe Deutschland, trotz des Rückgangs, aber weiter auf Platz zwei der Verbreitungsgebiete.

TeaBot verbreitet weiterhin App-Fälschungen und falsche QR-Codes – auch über Google Ads

Bitdefender (Website) beobachte anhand ihrer Telemetrie-Daten, wie über Google Play eine neue bösartige „QR Code Reader-Scanner App“ über 100.000 mal innerhalb eines Monats in 17 verschiedenen Varianten heruntergeladen wurde. Dabei handelt es sich höchstwahrscheinlich um einen hochverschlüsselten TeaBot Dropper. Die TeaBot-Attacke zeichne sich dadurch aus, vermeintlich nützliche Apps im Google Play Store anzubieten. Alternativ tarnt sie sich als falsche Version beliebter Apps, um dann bei Download als Dropper die Malware zu installieren. Die QR-Scanner-App verbreite sich vor allem in Großbritannien, und das auch über Google Ads.ft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert