Flubot Infektion

[Satchmo]

Hallo liebes Forum,

meine Schwiegereltern haben mehrfach ein Schreiben von Vodafone erhalten, in dem auf eine Infektion eines Endgerätes (höchstwahrscheinlich Android) im Netzwerk hingewiesen wird.
Vorhanden sind ein Laptop (sporadisch genutzt), ein iPad (regelmäßig genutzt), Galaxy S7 (sehr häufig genutzt, Schwiegermutter) und ein Nexus 6p (Häufigkeit der Nutzung unklar, Schwiegervater)

Die Hauptaktivitäten laut Vodafone bestanden zwischen Ende Mai und Anfang Juni.
Auf den Smartphones habe ich keine auffälligen SMS gefunden, allerdings weiß ich nicht sicher, ob nicht vielleicht aus Scham gelöscht wurde (kann ich nicht sicher ausschließen).

Um dem Problem überhaupt beizukommen habe ich gesucht und gesucht, finde aber keine für mich seriöse Antwort zur Beseitigung.
Das Nexus 6p ist als ehemaliges Google Phone in den Händen meines Schwiegervaters sicherlich nie geupdatet worden, aber ich bin mir nicht mal sicher, ob er überhaupt auf einen Link klicken würde.
Bei der Schwiegermutter sieht es anders aus, aber auch da finden sich auf dem Galaxy s7 keine verdächtigen SMS, allerdings kann sie viel besser damit umgehen als ihr Mann. Einen Link würde sie ganz sicher anklicken.

Hatte jemand ähnliche Probleme mit Flubot und könnte diese lösen?

MfG

 

[Nero_XY]

Woher kommt der Verdacht auf "Flubot"? Hat das Vodafone so mitgeteilt?

 

[Fujiyama]

Schreiben per Post oder per Email?(vlt kannst du das schreiben Anonymisiert hier hochladen damit wir mal draufschauen)
Wie kommst du auf Flubot?

 

[siggi%%44]

Angenommen es wäre wirklich Flubot, reicht es nicht alleine aus, nur den Link zu öffnen, der per SMS zugestellt wird. Dieser Link führt zu einer App, die zunächst aktiv vom Nutzer installiert werden muss. Dies hinterlässt ganz eindeutige Spuren auf dem Gerät, die eine Antivirensoftware sofort aufspüren sollte.

Daher mein Rat: Play Store öffnen, Kaspersky oder ähnliches installieren und dann sollte sich das Problem ganz schnell geklärt haben. Ist auch kostenlos.

 

[Dr. McCoy]

Hatte jemand ähnliche Probleme mit Flubot und könnte diese lösen?

Schau doch mal nach, ob in den Smartphones die Installation von Apps aus unbekannten Quellen aktivierst ist. Wie sieht es diesbezüglich im Detail aus?

 

[Satchmo]

Es sind mittlerweile 3 Schreiben von Vodafone eingegangen. Der Inhalt bezieht sich immer auf Flubot mit Verweisen auf einen per SMS übermittelten Link.
Über einen QR Code konnte ich auf einen Log (mittlerweile 9 Seiten) zugreifen, in dem die Aktivitäten des Flubots aufgezeichnet wurden.
Habe das Schreiben eben zu Hause nicht vorliegen.

Ergänzung (18. Juni 2021)

Daher mein Rat: Play Store öffnen, Kaspersky oder ähnliches installieren und dann sollte sich das Problem ganz schnell geklärt haben. Ist auch kostenlos.

Hatte bisher nur die Empfehlung gefunden ein betroffener Android Mobiltelefon auf Werkseinstellungen zurückzusetzen, da es noch keine Lösung zu dem Problem Flubot gibt.

Weißt du da mehr?

 

[Keylan]

Ich frag Mal ganz unschuldig, aber gibt Vodafone keinen Hinweis zum empfohlenen vorgehen? Oder den Rat den Support einzuschalten?

 

[siggi%%44]

Weißt du da mehr?

Ich kann nicht ganz nachvollziehen, warum hin und her diskutiert wird, Aussagen aus dem Netz zitiert werden, Einstellungen geprüft werden sollen und Schreiben anonymisiert hochgeladen werden. Man nimmt das Handy/Tablet, installiert eine Antivirus App und dann hat man doch Gewissheit. Erst wenn das nicht klappt, kann man weiter sehen.

Im Netz steht auch, dass z.B. Zertifikate von Let's Encrypt für Android Versionen unterhalb von 7.1.1 ungültig sind. Das stimmt auch nicht, weiß aber kaum einer, weil solche Meldungen nicht die Gemüter erregen. Daher mein Tipp: Probier es doch einfach mal aus mit Kaspeesky & Co.

 

[Dr. McCoy]

Hatte bisher nur die Empfehlung gefunden ein betroffener Android Mobiltelefon auf Werkseinstellungen zurückzusetzen

Nun, bei einer Kompromittierung ist am Ende das Flashen der Original-Firmware die sicherste Lösung. Weil:

-> https://www.heise.de/ct/artikel/Spionage-Software-unter-Android-erkennen-und-entfernen-4149491.html
-> https://blog.malwarebytes.com/andro...xhelper-reinfects-with-help-from-google-play/

Usually a factory reset, which is the last option, resolves even the worst infection. I cannot recall a time that an infection persisted after a factory reset unless the device came with pre-installed malware. This fact inadvertently sent me down the wrong path. [...]

This, however, marks a new era in mobile malware. The ability to re-infect using a hidden directory containing an APK that can evade detection is both scary and frustrating. [...]

Zitate Ende. Es ist also für Malware sehr viel möglich, sehr hartnäckig auf infizierten Geräten zu verbleiben.

Hinzu kommt dann noch, und das ist sicherheitstechnisch generell bedenklich, dass hier sechs Jahre alte Geräte mit schon lange nicht mehr aktualisierter Firmware eingesetzt werden.

 

[Satchmo]

Morgen habe ich die Gelegenheit beide Geräte nochmals zu überprüfen.
Werde mich dann hier zurückmelden!

Schon mal besten Dank für die schnelle Hilfe!

LG

 

[Nero_XY]

Würde mich da nicht auf AV-Apps verlassen, unter Android sind die Teile praktisch machtlos (keine Systemberechtigung). Im Zweifel: Werkseinstellungen

 

[kamanu]

Im Netz steht auch, dass z.B. Zertifikate von Let's Encrypt für Android Versionen unterhalb von 7.1.1 ungültig sind. Das stimmt auch nicht

Klar stimmt das nicht. Aber die Aussage dazu ist normalerweise, dass das ab Herbst der Fall sein wird. Weil die Dinger im Moment mit 2 Root-Zertifikaten beglaubigt werden. Eins davon ist in Android 7.1.1 vorhanden, das andere nicht. Das vorhandene wird von Let's Encrypt aber in Zukunft nicht mehr genutzt und nur noch mit dem Neuen beglaubigt. Die Android Geräte mit einer Version <=7.1.1 können dann bei einer mit einem Let's Encrypt Zertifikart verschlüsselten Verbindung eben nicht mehr bestätigen, dass das Zertifikart echt ist. Damit ist es Zertifikat dann "ungültig" und es kommt zu einer Zertifikatswarnung oder im schlimmsten Fall zu gar keiner Verbindung.

Edit: Okay, mittlerweile scheint Let's Encrypt den Support verlängert zu haben. Das wird erst ~2024 dazu kommen. Dann sind die meisten Android 7.1.1 Gerät wahrscheinlich ohnehin EOL.

 

[siggi%%44]

Nun, bei einer Kompromittierung ist am Ende das Flashen der Original-Firmware die sicherste Lösung. Weil:

Wieso soll bei Flubot die Firmware neu geflasht werden? Es gibt keinerlei Anlass dazu und der verlinkte Artikel beschreibt auch, dass es nur bei diesem bestimmten Trojaner nötig ist.
Das Flashen einer neuen Firmware kann bei falscher Handhabung das Gerät komplett unbrauchbar machen und ist auch nicht mal eben so in 5 Min. durchzuführen.