{
	"id": "7a5c3ae7-8b1e-44b5-99f5-ec1e05d3ee2e",
	"created_at": "2026-04-06T00:09:19.225017Z",
	"updated_at": "2026-04-10T13:12:06.502619Z",
	"deleted_at": null,
	"sha1_hash": "49443160e6454c7ae6d72e6067bafce667f2946e",
	"title": "Woche 12: Schadsoftware «FluBot» in der Schweiz wieder aktiv und Web-Administratoren erhalten Drohmails von angeblich ukrainischen Hackern",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 76565,
	"plain_text": "Woche 12: Schadsoftware «FluBot» in der Schweiz wieder aktiv\r\nund Web-Administratoren erhalten Drohmails von angeblich\r\nukrainischen Hackern\r\nBy Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS\r\nArchived: 2026-04-05 16:00:13 UTC\r\nWoche 12: Schadsoftware «FluBot» in der Schweiz wieder aktiv und Web-Administratoren erhalten Drohmails von angeblich ukrainischen Hackern\r\n29.03.2022 - Der Meldeeingang beim NCSC war in der letzten Woche leicht erhöht. Dem NCSC wurden\r\nSMS gemeldet, mit welchen erneut versucht wird, das Opfer zu verleiten, die Schadsoftware «FluBot» auf\r\ndem Smartphone zu installieren. Zudem erhielten Website-Besitzer elektronische Post von angeblichen\r\nukrainischen Hackern, welche vorgaben, die Website gehackt zu haben und einen «Spendenbeitrag»\r\nforderten.  \r\nDie Schadsoftware «FluBot» ist zurück\r\nIn der letzten Woche wurden dem NCSC zahlreiche SMS mit Benachrichtigungen zu angeblichen\r\nPaketlieferungen in diversen Textvarianten gemeldet. Bei der Formatierung gab es allerdings Gemeinsamkeiten:\r\nIn den Wörtern waren jeweils zahlreiche Leerzeichen enthalten. Der Link unter dem Text führte auf eine Webseite,\r\nwelche das Opfer aufforderte, eine Software des Paketdienstleisters auf das Android Smartphone herunterzuladen\r\nund zu installieren.\r\nBei der Software handelt es sich jedoch um die in der Schweiz nicht unbekannte Schadsoftware «FluBot». Die\r\nletzte grosse Welle traf die Schweiz im Herbst 2021. Damals wurden SMS mit einer angeblichen Sprachnachricht\r\nin grosser Zahl versendet. Das NCSC hat darüber berichtet (Wochenrückblick 41). International werden auch SMS\r\nmit dem Text «Bist Du das auf dem Video» beobachtet aber auch gefälschte Aufforderungen zur Aktualisierung\r\nvon Browser oder Betriebssystem gehören zum Repertoire von «FluBot». Typischerweise wechseln die Angreifer\r\nihre Zielgebiete in kürzester Zeit, meistens bereits nach wenigen Tagen. Kampagnen wurden seit Dezember 2021\r\nhttps://www.ncsc.admin.ch/22w12-de\r\nPage 1 of 3\n\nvor allem in Australien und Deutschland beobachtet. In der Schweiz werden die SMS mit den\r\nPaketbenachrichtigungen seit dem 18. März 2022 versandt.\r\n«FluBot» hat sich unter anderem auf den Diebstahl von SMS auf Mobiltelefonen spezialisiert. Ziel dabei ist, in\r\nden gestohlenen SMS so genannte Einmal-Passwörter zu finden. Nach einer Infektion wird zudem das ganze\r\nAdressbuch des infizierten Smartphones an den Kontrollserver der Angreifer gesendet. Das Smartphone erhält\r\ndanach eine Liste mit Telefonnummern, die von anderen gehackten Smartphones stammen, an die es die bösartige\r\nSMS senden soll.\r\nAuch wenn diese Schadsoftware lediglich Android-Geräte angreift, müssen sich auch Nutzende von\r\nGeräten mit dem iOS-Betriebssystem in Acht nehmen und sollten keine Links in SMS anklicken.\r\nInstallieren Sie keine Software, die ausserhalb der offiziellen Stores der Betriebssysteme angeboten\r\nwird\r\nInsbesondere sollten Sie keine Software installieren, welche Sie über einen Link in einer SMS oder\r\nüber einen anderen Messenger-Dienst (WhatsApp, Telegram usw.) erhalten haben.\r\nFalls Sie dennoch eine solche Software installiert haben, sollten Sie das Gerät von einer Fachperson\r\nüberprüfen lassen und während dieser Zeit weder Bankgeschäft noch Online-Einkäufe tätigen.\r\nGeben Sie auch keine Passwörter ein.\r\nDas Zurücksetzten des befallenen Geräts auf die Werkseinstellungen ist nahezu die einzige\r\nMöglichkeit, diese Schadsoftware vom Gerät zu entfernen.\r\nAngebliche Hacker aus der Ukraine fordern eine «Spende»\r\nDas NCSC erhielt letzte Woche ausserdem mehrerer Meldungen zu Drohnachrichten an Website-Besitzende von\r\nangeblichen ukrainischen Hackern. Die Schreiben wurden jeweils über das Kontaktformular der Webseiten\r\nabgesetzt. Die Hacker gaben dabei vor, eine Schwachstelle in der Webseite gefunden zu haben und forderten den\r\nWebseitenbesitzer auf, eine «Spende» von 0.05 BTC (aktuell ca. 2000 CHF) auf ein vorgegebenes Bitcoin-Konto\r\nzu transferieren.\r\nSollte der Webseitenbesitzer der Forderung nicht nachkommen, dann werde die Seite gekapert und ein Banner\r\neingeblendet, welches alle Besucher auffordere, der Ukraine zu helfen. Sollte das Banner durch den Besitzer\r\nentfernt oder die Schwachstelle geschlossen werden, werde das Banner erneut installiert und eine neue\r\nSchwachstelle gefunden. Sollte das nicht funktionieren, drohten die Angreifer, die Domäne bei der\r\nRegistrierungsstelle dauerhaft zu löschen.\r\nDieses Schreiben war selbstverständlich nur ein «Bluff». Der Fall zeigt aber, dass die Tragödie des Krieges in der\r\nUkraine in verschiedenster Weise auch von Betrügern für ihre Zwecke ausgenutzt wird. Das NCSC hat bereits am\r\n8. März 2022 darauf aufmerksam. Auch die Kantonspolizei ZH hat letzte Woche vor Betrugsversuchen gewarnt.\r\nLassen Sie sich nicht einschüchtern. Melden Sie im Zweifelsfall verdächtige Nachrichten dem NCSC\r\noder der Polizei.\r\nNatürlich sollten Sie aber Webserver und alle Webapplikationen auf dem neuesten Stand halten.\r\nGenerell für Spenden gilt:\r\nhttps://www.ncsc.admin.ch/22w12-de\r\nPage 2 of 3\n\nGehen Sie nicht auf Kontaktaufnahmen per E-Mail ein\r\nVermeiden Sie Spendenzahlungen per Kreditkarte\r\nÜberweisen Sie keine Kryptowährungsguthaben\r\nVersenden Sie keine Geschenkgutschein Codes (Google Play, Apple iTunes etc.)\r\nAm besten nutzen Sie Sie nur IBAN-Konten von Hilfswerken, welche ZEWO zertifiziert sind:\r\nhttps://zewo.ch/de/\r\nAktuelle Zahlen und Statistiken\r\nDie Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:\r\nAktuelle Zahlen\r\nSource: https://www.ncsc.admin.ch/22w12-de\r\nhttps://www.ncsc.admin.ch/22w12-de\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.ncsc.admin.ch/22w12-de"
	],
	"report_names": [
		"22w12-de"
	],
	"threat_actors": [],
	"ts_created_at": 1775434159,
	"ts_updated_at": 1775826726,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/49443160e6454c7ae6d72e6067bafce667f2946e.pdf",
		"text": "https://archive.orkl.eu/49443160e6454c7ae6d72e6067bafce667f2946e.txt",
		"img": "https://archive.orkl.eu/49443160e6454c7ae6d72e6067bafce667f2946e.jpg"
	}
}