Trojan bancário LokiBot para Android: malware híbrido

|

LokiBot Android Banking Trojan se transforma em ransomware quando você tenta removê-lo.

De maneira geral, como os trojans bancários se comportam? Muito simples: apresentam ao usuário uma tela falsa que simula a interface do aplicativo bancário. A vítima desavisada fornece suas credenciais de login, as quais são encaminhadas para o cibercriminoso.

Como o LokiBot se comporta? Praticamente da mesma forma, porém vai além. Não simula apenas aplicativos bancários, mas também o WhatsApp, Skype e Outlook, ao ponto de exibir notificações imitando esses programas.

Isso significa que a pessoa pode receber uma notificação falsa, supostamente de seu banco, dizendo que fundos foram transferidos a sua conta. Ao receber a boa notícia, entra no aplicativo bancário para confirmar. O LokiBit é capaz de fazer o smartphone vibrar ao exibir a notificação sobre a suposta transação, o que ajuda a enganar até os mais espertos.

Mas o LokiBot é muito mais ardiloso: pode abrir o navegador até páginas específicas, usar o dispositivo infectado para enviar spam (é assim que ele é distribuído). Depois de conseguir dinheiro da conta, o Trojan não para – envia SMS maliciosos para todos os contatos da agenda e infecta o maior número possível de smartphones e tablets, e pode responder mensagens se necessário.

Caso a vítima tente removê-lo, o Lokibot revela mais uma faceta: para roubar fundos da conta bancária, são necessários direitos de administrador; neste ponto, se o usuário nega as permissões demandadas, o LokiBot se transforma num ransomware.

LokiBot: o ransomware

Neste caso, o LokiBot bloqueia a tela e exibe uma mensagem acusando a vítima de ter acessado pornografia infantil e demanda um resgate; além de criptografar o dispositivo. Ao examinar seu código, pesquisadores descobriram que ele utiliza criptografia fraca e não funciona como deveria; o ataque deixa cópias desbloqueadas de todos os arquivos no dispositivo, apenas mudando os seus nomes.

Lokibot

Contudo, a tela continua bloqueada e os criadores do malware pedem por volta de US$ 100 em Bitcoins para desbloquear. Você não tem de aceitar: depois de reiniciar o dispositivo em modo de segurança, pode retirar os direitos de administrador do malware e deletá-lo. Para isso, você precisa determinar qual versão do Android está no seu dispositivo:

  1. Vá em Configurar
  2. Selecione a aba Geral
  3. Selecione Sobre o dispositivo
  4. Encontre a linha Versão do Android – o número abaixo indica a versão do Android

Para habilitar o modo de segurança na Versão 4.4 a 7.1 faça o seguinte:

  1. Pressione e segure o botão de ligar até que apareça o menu com a opção Desligar ou Desconectar fonte de energia.
  2. Segure e pressione a opção Desligar ou Desconectar fonte de energia.
  3. Em Ligar em modo de segurança no menu que aparece, clique em Espere o celular reiniciar.

Donos de dispositivos com outras versões do Android devem procurar por informações online sobre como habilitar o modo de segurança.

Infelizmente, nem todo mundo conhece esse método de eliminação de ransomware: as vítimas do LokiBot já perderam quase US$ 1,5 milhão. Com o malware disponível no mercado clandestino por apenas US$ 2.000, é provável que os criminosos por trás do investimento já o receberam de volta.

Como se proteger

No final das contas, as medidas de proteção contra o LokiBot são aplicáveis a qualquer dispositivo móvel:

  • Nunca clique em links suspeitos: é desta forma que o LokiBot se espalha.
  • Baixe aplicativos apenas da Google Play, mas mesmo assim seja desconfiado.
  • Instale uma solução de segurança segura em seu smartphone e tablet. O Kaspersky Internet Security para Android detecta todas as variantes do LokiBot. Com a versão paga, não é preciso verificar o smartphone toda vez que adquirir um aplicativo novo.

Últimas postagens

Extradição Julian Assange
Extradição de Assange exige garantias contra a pena de morte

Um tribunal do Reino Unido decidiu que Julian Assange não pode ser enviado para os Estados Unidos so…

botnet iot
Descoberta Botnet de 40.000 dispositivos IoT

Uma botnet de 40.000 dispositivos IoT e roteadores em fim de vida foi descoberta por pesquisadores d…

O que são controles de acesso lógico?

Controles de acesso lógico se referem a métodos ou mecanismos eletrônicos implementados para restrin…