Europol: Top-Malware Flubot ist Geschichte

3. Juni 2022, 13:22
  • security
  • cybercrime
  • Flubot
  • justiz
  • fedpol
image
Nicht auf den Link klicken! Flubot verbreitete sich über Spam-Nachrichten. Foto: Charlesdeluvio / Unsplash

2021 war Flubot die dominante Malware in der Schweiz. Nun wurde die Infrastruktur in einer internationalen Aktion unter Mithilfe der Schweizer Bundespolizei zerschlagen.

Letztes Jahr dominierte hierzulande Flubot die Bedrohungslandschaft. Die Android-Malware erhielt mit der Version 4.6 im Juni 2021 eine Konfiguration für die Schweiz und verbreitete sich danach rasend: Bereits in der zweiten Jahreshälfte betraf die Hälfte der Meldungen beim Nationale Zentrum für Cybersicherheit (NCSC) Flubot, nachdem ab Mitte Oktober eine veritable Angriffswelle über die Schweiz gerollt war. Dies ist dem letzten Halbjahresbericht des Zentrums zu entnehmen. Ende März 2022 nahm dann die Anzahl der Meldungen wieder zu, das NCSC warnte: "Flubot ist zurück."
Doch mit der Bedrohung ist nun Schluss: In einer internationalen Operation haben Strafverfolger die Infrastruktur der Malware zerschlagen. An der Aktion in 11 Ländern unter Federführung der niederländischen Polizei war auch die Schweizer Bundespolizei Fedpol beteiligt, wie einer Mitteilung von Europol zu entnehmen ist.
Verhaftungen in der Schweiz wurden keine durchgeführt, auch wurde keine physische Infrastruktur beschlagnahmt, wie Fedpol auf Anfrage erklärt. Dem "Action Day" seien aber hierzulande Vorermittlungen unter der Leitung der Bundesanwaltschaft vorausgegangen und man habe in Zusammenarbeit mit kantonalen Polizeikorps, dem NCSC, Telekommunikationsfirmen und Switch Informationen über die Funktionsweise der Malware sowie über Opfer ermitteln können. Diese wurden laut Fedpol an die internationalen Kollegen übermittelt und trugen zur Aufdeckung der Infrastruktur bei.
Flubot sandte Malware über Textnachrichten. Wer diese auf seinem Android-Smartphone anklickte, bei dem wurde der Schädling auf dem Gerät installiert. Wenn man der Anwendung danach Zugriffsrechte einräumte, wurden Securitymassnahmen deaktiviert und unter anderem Anmeldedaten für E-Banking und Kontodaten von Kryptowährungen gestohlen. Die App legte sich in einer "overlay attack" quasi über die entsprechenden Applikationen, zog die Daten ab und unterlief auch die 2-Faktor-Authentifzierung. Zudem verschickte die Malware Textnachrichten an Kontakte, um sich weiterzuverbreiten.
Die Ermittlung nach den Urhebern laufen derzeit noch, heisst es in der Mitteilung von Europol. Die Infrastruktur der Kriminellen wurde in den Niederlanden ausgemacht und abgeschaltet. In der Schweiz seien Betroffene von ihren Anbietern während der Flubot-Angriffe über den Befall informiert worden, ist auf Cybercrime.ch, einer Warnwebsite der Kantonspolizei Zürich, nachzulesen.
Switch hat einen Blogbeitrag mit technischen Details zu Flubot verfasst.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023