Eine SMS mit einer Paketbenachrichtigung zu bekommen, ist normalerweise ein Sonder-Service der Paketdienste. Doch wenn man sich dafür gar nicht angemeldet hat oder kein Paket erwartet, kann sie auch zur Falle werden. In den SMS wird behauptet „Wir konnten heute ein Paket nicht zustellen“ oder ihr werdet zur „Aktualisierung eurer Daten“ aufgefordert. Erfahrt bei GIGA, was passieren kann.
„Smishing“ nennt sich die Methode, mit der Kriminelle versuchen, an die Daten ihrer Opfer zu kommen. Diese Mischung aus SMS und Phishing ist raffiniert, allerdings auf die Mitarbeit der Opfer angewiesen. Der Link in einer SMS mit Paketbenachrichtigung kann derzeit nur Android-Handys mit einem Virus verseuchen, wenn man den Link öffnet und den Anweisungen folgt. Die SMS kommen angeblich von „DHL“ oder „DHL Paket“, doch tatsächlich stecken groß angelegte Hackerangriffe dahinter.
Auch DHL warnt inzwischen vor den SMS:
Was bewirkt der Link in der SMS-Paketbenachrichtigung?
Zuerst einmal ist dieser Link nur für die Benutzer von Android-Smartphones eine Gefahr – und das auch nur, wenn ihr selbst die angebotene App-Datei manuell installiert. Die Links führen zu einer Internetseite, die keine Paketbenachrichtigungen, sondern eine „APK-Datei“ enthält. Das ist eine Programmdatei für eine Android-App.
Die Nachrichten lauten beispielsweise:
- „Wir konnten heute ein Paket nicht * * zustellen. @ Bitte besuchen Sie: http://*****“
- „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. http://********.duckdns.org“.
- „DHL Express 4683155186 von Q-DANCE wird HEUTE bis Tagesende zugestellt. Sendung verfolgen: http://******“
Darin selbst besteht noch keine Gefahr, aber wird sie installiert, so kann sie beispielsweise alle empfangenen SMS weiterleiten. Dadurch können die Verursacher unter anderem an Sicherheits-Codes zur Anmeldung bei Konten und Webseiten kommen.
Bei der aktuellen APK-Datei handelt es sich um den Trojaner Trojan:AndroidOS/Anubis.W, der unter dem Dateinamen DHL25.APK angeboten wird. Anubis ist ein gefährlicher Banking-Trojaner, der die Zugänge aus etwa 200 verschiedenen Bank- und Finanz-Apps stehlen kann. Außerdem kann er sich über SMS-Nachrichten weiter verbreiten.
Außerdem ermöglicht die App nach den Analysen der Cybercrime-Abteilung des Landeskriminalamts Niedersachsen darüber hinaus die komplette Fernsteuerung des Handys. Das kann etwa genutzt werden, um auf euer Bankkonto zuzugreifen, in Online-Portalen Bestellungen zu machen oder auf aufgerufenen Webseiten Werbung und andere schädliche Links anzuklicken.
Allerdings muss dieser „Trojaner“ noch ein paar Hürden überwinden, die ihr steuern könnt.
Wenn es euch erwischt habt, müsst ihr euer Handy auf die Werkseinstellungen zurücksetzen. Unser Video zeigt euch, wie das geht:
Wie soll man sich verhalten?
iPhone-User sind in diesem Fall sicher, weil iPhones keine App-Installation außerhalb des App-Stores erlauben. Aber auch Android-Nutzer sind nicht komplett hilflos. Damit der Virus auf dem Handy installiert wird, müssen mehrere Umstände zusammentreffen:
- Der Empfänger der SMS muss auf den Link tippen und die Adresse im Browser aufrufen.
- Unter der Adresse befindet sich eine Webseite, die eine App-Datei anbietet und erklärt, wie man diese installiert.
- Dazu muss auf dem Handy die manuelle Installation von Apps aus anderen Quellen aktiviert sein (Sideloading).
- Dann muss der Anwender die Installation dieser Datei noch ausdrücklich erlauben.
Spätestens hier sollte sich die Vernunft einschalten: Warum muss man eine App installieren, um eine Paketbenachrichtigung zu lesen? Aber die Verursacher der SMS setzen auf die pandemiebedingten Paketbestellungen und das fehlende Fachwissen vieler Anwender.
Wenn so eine SMS kommt – nicht auf den Link tippen. Und selbst wenn man getippt hat: keine Installation zulassen!
Was soll man tun, wenn es passiert ist und die App installiert wurde?
- Schaltet euer Handy in den Flugmodus, damit es keine Befehle von außen empfangen und keine SMS versenden kann.
- Ruft euren Mobilfunk-Betreiber an, informiert ihn über das Problem und fragt auch gleich, ob bereits Kosten verursacht wurden.
- Bei der Gelegenheit lasst sofort eine Drittanbietersperre einrichten, wenn ihr das noch nicht gemacht habt. Dann können keine Kosten verursacht werden, die über die Handynummer abgerechnet werden.
- Sichert all eure Daten, Bilder, Videos und eventuell auch Einstellungen in einem Android-Backup.
- Anschließend müsst ihr euer Smartphone auf die Werkseinstellungen zurücksetzen. Dadurch werden alle Apps und Daten gelöscht, die beim Kauf des Handys nicht vorhanden waren. Auch die Virus-App ist dann weg.
- Ändert unbedingt alle Passwörter und aktiviert die Zwei-Faktor-Authentifizierung bei allen Konten, die das unterstützen. Auf diese Weise kommen Kriminelle nicht in euer Konto, selbst wenn sie das Haupt-Passwort kennen.
Außerdem solltet ihr, zumindest wenn ihr einen Schaden durch weitere Kosten hattet, eine Anzeige bei der Polizei machen. Um die Gefahr für die Zukunft zu minimieren, sollte die Installation von Apps aus unbekannten Quellen deaktiviert sein und nur in den Ausnahmefällen zugelassen werden, wenn ihr euch über die App-Herkunft sicher seid.