Newsletter RTR.Telekom.Post

  • Newsletter
    02/2022
  • Datum
    01.07.2022

Flubot – ein lästiger Gast in TK-Netzen

Wenn es um Cyberkriminalität geht, kann man durchaus den Eindruck gewinnen, als technisch minder-versierter Endkunde dem Treiben hilflos ausgeliefert zu sein. Da gibt es Schwachstellen in Hard- und Software, da werden "Overflows" erzeugt und Zero-Day-Exploits ausgenützt, wo man selbst als Experte leicht den Überblick verlieren kann. Vergessen wird dabei allerdings, dass es für die Angreifer oftmals viel einfacher geht. Nämlich dann, wenn der angegriffene Endkunde die Schadsoftware selbst am Endgerät installiert und dieser auch noch Schritt für Schritt die notwendigen Berechtigungen erteilt.


Bild: Das Opfer erhält genaue Anweisungen, welche Berechtigungen die Malware benötigt und wie diese zu erteilen sind.


Genau so passiert es mit Flubot, einer Android-Malware, die sich nun bereits seit mehr als einem Jahr auch in Österreich über SMS verbreitet und vor allem das Ausspähen von persönlichen Daten der Handy-Nutzer zum Ziel hat. Oftmals ist es eine SMS-Nachricht eines vermeintlich vertrauenswürdigen Absenders (wie etwa ein Paketdienstleister, eine Bank oder der eigene Netzbetreiber), mit der der Adressat aufgefordert wird, eine App zu installieren, um ein Paket nachverfolgen zu können, eine Sperre des Bankkontos oder des Internetzugangs zu vermeiden. Nachdem Schadsoftware in aller Regel im offiziellen App-Store nicht verfügbar ist, muss das Opfer zunächst die Berechtigung für "Sideloading" erteilen, sodass die App aus einer Quelle unbekannter Herkunft außerhalb des App-Stores bezogen werden kann. Ist diese Berechtigung erteilt und die Datei auf das Endgerät heruntergeladen, muss die App installiert werden. Erst wenn die Einstellungen etwa für Accessibility Service und Notification Access entsprechend angepasst sind, wird die vermeintlich hilfreiche App endgültig am Endgerät installiert. In Wirklichkeit befindet sich mit Flubot nun eine mächtige Malware am Endgerät, die den Angreifern die Übernahme zahlreicher Funktionen des Endgerätes ermöglicht. Damit wird es möglich, eine Vielzahl von Daten abzugreifen, SMS-Nachrichten zur Weiterverbreitung von Flubot versenden oder die Aktivitäten von Flubot vor dem Endnutzer zu verbergen. Abhilfe schafft in der Regel nur ein komplettes Rücksetzen des Endgerätes auf Werkseinstellungen – eine Prozedur, die bei betroffenen Kunden verständlicherweise auf wenig Begeisterung stößt. 

Während sich Endkunden also durch erhöhte Vorsicht im Umgang mit verdächtigen Nachrichten oder Links schützen können, stellt sich die Frage, inwieweit die Betreiber der Verbreitung von Flubot und anderer Malware einen Riegel vorschieben könnten. Die Antwort ist – wie oft in diesem Bereich – vielschichtig. Rein technisch betrachtet, bestünde die Möglichkeit SMS-Nachrichten einer Analyse zu unterziehen, nach potenzieller Schadwirkung zu klassifizieren und verdächtige Nachrichten auszufiltern. Sieht man sich allerdings die rechtlichen Rahmen­bedingungen an, so gibt es – aus guten Gründen – einige Hürden, die ein allzu forsches Herangehen recht rasch in die Schranken weisen. Fernmeldegeheimnis und Datenschutz sind hohe Güter, sodass zunächst abzuwägen ist, welche gelinderen Mittel ebenfalls zu einer Eindämmung von Flubot und anderer Malware beitragen könnten. 

Die RTR steht seit dem ersten Auftreten von Flubot mit den Mobilnetzbetreibern und zuletzt auch betroffenen Unternehmen (Banken) im Austausch und unternimmt ein gemeinsames Monitoring. Nachdem sich die zwischenzeitliche Hoffnung eines Rückgangs der Flubot-Angriffe nicht erfüllt hat, wurde seitens der RTR die Branchenrisikoanalysegruppe einberufen, um sich auf Expertenebene gemeinsam dem Thema anzunehmen und nach Ansatzpunkten für eine Lösung zu suchen. Zusätzlich konnte seitens der RTR die für Fragen des Datenschutzes zuständige Datenschutzbehörde (DSB) für eine Teilnahme an den Gesprächen gewonnen werden. 

Während also auf nationaler Ebene Behörden und Betreiber nach Lösungen suchten, waren auch Strafverfolgungsbehörden auf internationaler Ebene aktiv. Koordiniert vom European Cybercrime Center (E3C) von Europol, haben Behörden aus Australien, Belgien, Finnland, Irland, den Niederlanden, Schweden, der Schweiz, Spanien, Ungarn und den Vereinigten Staaten zusammengewirkt. Dabei gelang es der holländischen Polizei offenbar, die Flubot-Malware-Infrastruktur zu übernehmen und den Flubot-Kampagnen vorerst den Wind aus den Segeln zu nehmen. Inwieweit dieser Schlag den heimischen Anbietern und Kunden zumindest eine Atempause verschafft oder ob er vielleicht sogar nachhaltige Abhilfe bedeutet, bleibt abzuwarten. Die RTR wird das Thema jedenfalls weiterhin beobachten und gemeinsam mit den anderen Stakeholdern nach Maßnahmen gegen Flubot und andere Malware suchen.


Gerne halten wir Sie am Laufenden!

Ich stimme der Verarbeitung meiner hier angegebenen E-Mail-Adresse laut den Bestimmungen zum Datenschutz ausdrücklich zu. Diese Zustimmung kann ich jederzeit widerrufen.