Angeblicher Hinweis auf MMS von Vodafone verteilt Malware

Ein neuer Angriff auf Vodafone-Kunden wird von den Kriminellen mittels einer E-Mail mit einem Hinweis auf den wenig genutzten MMS-Dienst vorgetragen. Darauf hat Sophos-Experte Graham Cluley hingewiesen. Der Angriff sei von den SophosLabs in einer der weltweit verteilt aufgestellten Spam-Fallen gefangen worden. Er tarnt sich als Mitteilung von Vodafone, dass eine MMS-Nachricht an das Mobiltelefon des Empfängers geschickt worden sei.

Im Betreff heißt es schlicht “You have received a new message”, die angehängte Datei ist als “Vodafone_MMS-uk.zip” benannt. Der Nachrichtentext lautet “You have received a picture message from mobile number +447775226358. To save this picture, please save attached file.” In der ZIP-Datei ist ein Schadprogramm namens Vodafone_MMS-uk.jpeg.exe verborgen, das von Sophos als Troj/Agent-YXP identifiziert wurde.

Dass das Programm eine doppelte Dateiendung benutzt (.jpeg.exe), sieht Cluley als Finte, um Nutzer, insbesondere solche, die bei Windows die Dateierweiterung verbergen lassen, in der Annahme zu bestätigen, es handle sich um ein echtes JPEG-Bild. Die Malware greift übrigens Windows-PCs und nicht Windows-Smartphones an. Offensichtlich spekulieren die Angreifer aber darauf, dass Nutzer die Mail direkt öffnen, um das vermeintliche Bild zu sehen.

Die Nachricht stammt natürlich nicht von Vodafone, die Hacker haben lediglich den Header gefälscht um ihre Nachricht authentischer wirken zu lassen. Cluley weist auch darauf hin, dass sie dies selbstverständlich auch bei anderen Providern ohne großen Aufwand tun könnten.