Koblenz

Virus-Alarm von der Feuerwehr Koblenz: Falsche DHL-SMS verseucht Android-Handys

Kriminelle machen sich zunutze, dass viele Menschen jederzeit mit Päckchen rechnen. Eine vermeintliche DHL-Zustellnachricht per SMS aufs Smartphone wird zur bösen Falle – und breitet sich in der Region aus. Aus der Koblenzer Feuerwehr kommt ein Alarm, der viele Handy-Besitzer vor Schaden bewahren könnte.

Lesezeit: 3 Minuten
Anzeige

Von unserem Redakteur Lars Wienand

Berufsfeuerwehrmann Sascha Rehnelt war es eilig, auch den etwas anderen Flächenbrand einzudämmen. Er schickte eine WhatsApp-Nachricht an alle Kontakte, machte einen Aushang in der Koblenzer Feuerwache, rief bei der Verbraucherzentrale und unserer Zeitung ab. Es sollte anderen möglichst nicht so ergehen wie ihm: Sein Handy wurde ferngesteuert.

Doch schon klagten Kollegen: Auch sie hatte der Trojaner DHL.apk bereits erwischt. Eine Android-App installiert sich, greift sich alle Kontakte aus dem Smartphone, nutzt sie und versendet selbst SMS. Die Masche ist in Teilen Deutschlands schon aufgetreten, und die Suche nach den Tätern führt offenbar zu Servern in Asien.

Nachricht in schlechtem Deutsch

Unsere Region war bislang weitgehend verschont geblieben. Bei der Koblenzer Polizei gab es bisher keine Hinweise auf eine Welle. Dabei kann sich der Trojaner lawinenartig ausbreiten: Rehnelt hat 500 Einträge im Adressbuch. Er weiß bereits, dass Kontakte daraus die SMS auch erhalten haben. Und das so, wie er sie gespeichert hat. „Mutti, Ihr DHL Packung ist ihnen geliefert, verfolgen sie online über ...“, las seine Mutter das schlechte Deutsch – und klickte nicht auf den Link. Der führt zu einem Dropbox-Ordner, in dem die böse Datei wartet, die sich diverse Berechtigungen für das Handy holt. Die Datei heißt DHL.apk, APK steht für das Format „Android Package File“. Apple-Geräte sind davor sicher. Es ist aber denkbar, dass auch iPhones angegriffen und auch Hermes, UPS oder andere als Absender angegeben werden.

Sascha Rehnelt war misstrauisch geworden, nachdem er selbst die SMS erhalten und einen Bericht gesehen hatte. Bei der Kontrolle seiner Rechnung im Internet der Schreck: 800 SMS waren bereits verschickt worden. „Ich habe keine Flat, zahle eigentlich 10 Cent pro SMS.“ Seine Hoffnung ist, dass sein Anbieter 1&1 sich kulant zeigt. Dort erklärte man auf Anfrage unserer Zeitung, den Fall zu prüfen. Rehnelt sagt: „Es gab auch keine Warnung, dass plötzlich sekündlich SMS verschickt werden.“

Der Feuerwehrmann ließ den SMS-Versand blockieren, säuberte das Smartphone vom Virus, blockierte die Funktion „Apps aus unbekannten Quellen installieren“. Der technische Support von 1&1 sei dabei vorbildlich gewesen – andere Feuerwehrleute bekamen von ihren Providern zum Teil unvollständige oder falsche Infos.

Rehnelt hatte noch Glück: In anderen Fällen wurden Verbindungen zu teuren Premium-SMS-Diensten aufgebaut, bei denen eine SMS 5 Euro kosten kann. Zum Teil wurden offenbar auch automatisch kostenpflichtige Abos zu Mehrwertdiensten abgeschlossen. Die Augsburger Allgemeine berichtete von einer 23-Jährigen, bei der sich die Kosten auf mehr als 600 Euro beliefen.

Was man tun und wie man vorbeugen kann

Vor dem Virus haben unter anderem das Landeskriminalamt Mecklenburg-Vorpommern und die Polizei Niedersachsen gewarnt. Was sie raten:

  • Verdächtige Links – in diesem Fall bisher offenbar verkürzte goo.gl-Adresse – nicht anklicken. Die SMS löschen.


Wer Links angeklickt hat:

  • Wenn möglich den Download abbrechen oder die Datei löschen.
  • Das Handy ausschalten, eventuell sogar den Akku entnehmen.
  • Den Mobilfunkanbieter kontaktieren.

Zur Vorbeugung:

  • Eine Drittanbietersperre einrichten lassen – müssen die Mobilfunkanabieter kostenlos machen.
  • In den Sicherheitseinstellungen die Installation aus unbekannten Quellen nicht zulassen – dann können nur Apps aus dem Play Store geladen werden, was deutlich mehr Sicherheit bietet.
  • Kontrollieren, welche Zugriffsberechtigungen eine App haben will.

[Update:] 1&1 hat gegenüber unserer Zeitung erklärt, dass es „die Kosten, die durch die Schadsoftware verursacht wurden, vollumfänglich stornieren wird.“ Dem Mobilfunkanbieter zufolge gibt es auch Alarmierungen und damit Sicherheitssperren, die bei ungewöhnlicher Nutzung von Mobilfunkverträgen greifen. Allerdings lagen die tatsächlich verschickten SMS in dem Zeitraum unter den Schwellwerten, erklärt daqs Unternehmen. In seinem Blog warnt 1&1 inzwischen auch vor dem Trojaner.

Autor:
Lars Wienand (Mail, Google+)