LokiBot Android Banking Trojan se transforma em ransomware quando você tenta removê-lo.
De maneira geral, como os trojans bancários se comportam? Muito simples: apresentam ao usuário uma tela falsa que simula a interface do aplicativo bancário. A vítima desavisada fornece suas credenciais de login, as quais são encaminhadas para o cibercriminoso.
Como o LokiBot se comporta? Praticamente da mesma forma, porém vai além. Não simula apenas aplicativos bancários, mas também o WhatsApp, Skype e Outlook, ao ponto de exibir notificações imitando esses programas.
Isso significa que a pessoa pode receber uma notificação falsa, supostamente de seu banco, dizendo que fundos foram transferidos a sua conta. Ao receber a boa notícia, entra no aplicativo bancário para confirmar. O LokiBit é capaz de fazer o smartphone vibrar ao exibir a notificação sobre a suposta transação, o que ajuda a enganar até os mais espertos.
Mas o LokiBot é muito mais ardiloso: pode abrir o navegador até páginas específicas, usar o dispositivo infectado para enviar spam (é assim que ele é distribuído). Depois de conseguir dinheiro da conta, o Trojan não para – envia SMS maliciosos para todos os contatos da agenda e infecta o maior número possível de smartphones e tablets, e pode responder mensagens se necessário.
Caso a vítima tente removê-lo, o Lokibot revela mais uma faceta: para roubar fundos da conta bancária, são necessários direitos de administrador; neste ponto, se o usuário nega as permissões demandadas, o LokiBot se transforma num ransomware.
LokiBot: o ransomware
Neste caso, o LokiBot bloqueia a tela e exibe uma mensagem acusando a vítima de ter acessado pornografia infantil e demanda um resgate; além de criptografar o dispositivo. Ao examinar seu código, pesquisadores descobriram que ele utiliza criptografia fraca e não funciona como deveria; o ataque deixa cópias desbloqueadas de todos os arquivos no dispositivo, apenas mudando os seus nomes.
Contudo, a tela continua bloqueada e os criadores do malware pedem por volta de US$ 100 em Bitcoins para desbloquear. Você não tem de aceitar: depois de reiniciar o dispositivo em modo de segurança, pode retirar os direitos de administrador do malware e deletá-lo. Para isso, você precisa determinar qual versão do Android está no seu dispositivo:
- Vá em Configurar
- Selecione a aba Geral
- Selecione Sobre o dispositivo
- Encontre a linha Versão do Android – o número abaixo indica a versão do Android
Para habilitar o modo de segurança na Versão 4.4 a 7.1 faça o seguinte:
- Pressione e segure o botão de ligar até que apareça o menu com a opção Desligar ou Desconectar fonte de energia.
- Segure e pressione a opção Desligar ou Desconectar fonte de energia.
- Em Ligar em modo de segurança no menu que aparece, clique em Espere o celular reiniciar.
Donos de dispositivos com outras versões do Android devem procurar por informações online sobre como habilitar o modo de segurança.
Infelizmente, nem todo mundo conhece esse método de eliminação de ransomware: as vítimas do LokiBot já perderam quase US$ 1,5 milhão. Com o malware disponível no mercado clandestino por apenas US$ 2.000, é provável que os criminosos por trás do investimento já o receberam de volta.
Como se proteger
No final das contas, as medidas de proteção contra o LokiBot são aplicáveis a qualquer dispositivo móvel:
- Nunca clique em links suspeitos: é desta forma que o LokiBot se espalha.
- Baixe aplicativos apenas da Google Play, mas mesmo assim seja desconfiado.
- Instale uma solução de segurança segura em seu smartphone e tablet. O Kaspersky Internet Security para Android detecta todas as variantes do LokiBot. Com a versão paga, não é preciso verificar o smartphone toda vez que adquirir um aplicativo novo.