LokiBot - uwaga na groźnego trojana

Jak zazwyczaj zachowują się trojany bankowe? Wyświetlają użytkownikom fałszywe ekrany, które udają interfejs bankowości mobilnej. Niczego niepodejrzewająca ofiara wprowadza swoje dane logowania, które szkodliwy program wysyła do atakujących, dając im dostęp do kont.

Jak zachowuje się LokiBot? W dużej mierze podobnie, jednak imituje on nie tylko ekran aplikacji bankowej, lecz także interfejs klientów takich programów jak WhatsApp, Skype i Outlook, wyświetlając powiadomienia, które rzekomo od nich pochodzą.

W efekcie użytkownik otrzymuje fałszywe powiadomienie wysłane teoretycznie przez bank, zawierające informację o tym, że ktoś przelał na jego konto pieniądze, i loguje się do klienta bankowości mobilnej. Gdy wyświetlany jest komunikat o przelewie, LokiBot sprawia, że smartfon wibruje, co dodatkowo dezorientuje użytkowników.

Jednak LokiBot na tym nie poprzestaje: potrafi otworzyć przeglądarkę, przejść na określone strony, a nawet użyć zainfekowanego urządzenia do wysyłania spamu, który dystrybuuje się właśnie w ten sposób. Po pobraniu pieniędzy z konta LokiBot działa dalej, wysyłając szkodliwy SMS do wszystkich kontaktów znajdujących się w książce telefonicznej w celu zainfekowania tylu smartfonów i tabletów, ile tylko jest możliwe. Co więcej, w razie potrzeby odpowiada na przychodzące wiadomości.

Próba usunięcia LokiBota sprawia, że ten szkodliwy program ujawnia swoje inne oblicze: aby ukraść pieniądze z konta bankowego, potrzebuje on uprawnień administratora. Jeśli nie uda mu się ich uzyskać, przekształca się z trojana bankowego w program żądający okupu.

W tym przypadku LokiBot blokuje ekran i wyświetla komunikat, z którego ofiara dowiaduje się, że jest oskarżona o wyświetlanie pornografii dziecięcej i musi zapłacić okup. Ponadto zagrożenie szyfruje również dane na urządzeniu. Analiza kodu LokiBota wykazała, że używa on słabego szyfrowania, a sam program nie działa poprawnie — na urządzeniu wciąż dostępne są niezaszyfrowane kopie wszystkich plików, jednak mają one inne nazwy. Zatem odzyskanie plików jest stosunkowo proste.

Jednak ekran urządzenia jest blokowany, a za jego przywrócenie autorzy szkodliwego programu żądają około 100 dolarów w bitcoinach. Nie jest to konieczne: po ponownym uruchomieniu urządzenia w trybie bezpiecznym można cofnąć szkodliwemu programowi uprawnienia administratora i usunąć go.  W tym celu należy najpierw określić posiadaną wersję Androida:

Wybierz opcję Ustawienia.    

Wybierz kartę Ogólne.    

Wybierz Informacje o urządzeniu.    

Znajdź opcję Wersja systemu Android — w tym miejscu znajduje się numer wersji systemu operacyjnego.

Aby włączyć bezpieczny tryb na urządzeniu z wersją 4.4 do 7.1:

Wciśnij i przytrzymaj przycisk zasilania do momentu, aż pojawi się menu zawierające opcję Wyłącz zasilanie.    

Wciśnij i przytrzymaj opcję Wyłącz.    

W menu Tryb bezpieczny kliknij przycisk OK.    

Poczekaj, aż telefon zostanie uruchomiony ponownie.

Właściciele urządzeń, na których zainstalowane są inne wersje systemu Android, powinni poszukać w internecie informacji na temat tego, jak włączyć tryb bezpieczny w ich telefonie.

Niestety nie każdy wie, że można w ten sposób unieszkodliwić szkodliwy program: ofiary zagrożenia LokiBot straciły już niemal 1,5 miliona dolarów. A ponieważ jest on dostępny na czarnym rynku za 2 tys. dolarów, bardzo prawdopodobne jest, że odpowiedzialni za niego cyberprzestępcy już dawno otrzymali zwrot ze swojej inwestycji.

Jak się chronić przez LokiBotem?

Środki bezpieczeństwa, które można zastosować w celu uniknięcia infekcji LokiBotem, są również odpowiednie do ochrony przed wszystkimi mobilnymi szkodliwymi programami:

1. Nigdy nie klikaj podejrzanych łączy - tak właśnie rozprzestrzenia się LokiBot.
2. Pobieraj aplikacje wyłącznie ze sklepu Google Play — lecz zachowaj ostrożność 
3. Zainstaluj niezawodny produkt zabezpieczający na swoim smartfonie i tablecie. Kaspersky Internet Security for Android wykrywa wszystkie odmiany zagrożenia LokiBot. W wersji płatnej nie musisz skanować smartfona po zainstalowaniu każdej nowej aplikacji.