android malware

LokiBot – nowy groźny malware na Androida

Na oficjalnym blogu firmy Kaspersky Lab pojawił się wpis dotyczący nowego, groźnego i wyjątkowo wszechstronnego złośliwego oprogramowania atakującego urządzenia z systemem Android. Nowy malware nazwano LokiBot.

Jesteśmy przyzwyczajeni, że informując o jakimkolwiek nowym cyberzagrożeniu, zwykle od razu przypisuje się mu konkretną klasyfikację. Na przykład ataki WannaCry czy Petya/NonPetya to ransomware, czyli złośliwy kod wymuszający okup za odblokowanie danych czy funkcji zainfekowanego urządzenia. Z kolei na przykład Faketoken.q to trojan (więcej o nim pisał Jacek Tomczyk) wykradający dane. LokiBot nie poddaje się tej klasyfikacji. Nowy malware jest atakiem wielopostaciowym, a kod zaszyty w tym złośliwym programie uruchamia wiele szkodliwych funkcji.

Lokibot potrafi działać jak typowy trojan bankowy. Kod generuje fałszywe powiadomienia pochodzące niby od banku (w rzeczywistości generowane przez LokiBota), są to np. treści informujące o nowym wpływie na konto. Dodatkowo generowany jest impuls wibracyjny, co dodatkowo dezorientuje użytkownika. LokiBot uruchamia też klienta bankowości mobilnej, a gdy użytkownik się zaloguje szkodnik przechwytuje dane uwierzytelniające i przesyła je cyberprzestępcom.

LokiBot
Lokibot to jedno z najbardziej wszechstronnych zagrożeń atakujących Androida (fot. Bleeping Computer).

Nowy szkodnik pełni również funkcję automatycznego spamera. Gdy uda mu się wykraść pieniądze z konta ofiary Lokibot wysyła SMS do wszystkich kontaktów znajdujących się w bazie adresowej telefonu ofiary, co więcej szkodnik potrafi również otworzyć przeglądarkę, przejść na określone strony czy użyć zainfekowanego urządzenia do wysyłania spamu. Wszystko to po to, by rozesłać dalsze kopie LokiBota do innych urządzeń.

Próba usunięcia LokiBota ujawnia jego kolejne złośliwe oblicze. Staje się on oprogramowaniem typu ransomware. Blokuje ofierze dostęp do telefonu żądając okupu w kwocie stanowiącej równowartość 100 dolarów w bitcoinach za zdjęcie tej blokady.

Jak zawsze, odradzamy płacenie. Tym bardziej, że nie jesteśmy bezbronni – ekspert Kaspersky Lab ujawnił receptę na zdjęcie blokady bez ulegania szantażowi cyberprzestępców. Po ponownym uruchomieniu zainfekowanego można cofnąć szkodnikowi uprawnienia administratorskie uruchamiając urządzenie w trybie bezpiecznym.

W przypadku urządzeń z Androidem od 4.4 do 7.1 należy wcisnąć i trzymać przycisk zasilania do momentu wyświetlenia się menu z opcją „Wyłącz zasilanie”, następnie naciskamy i przytrzymujemy przycisk „Wyłącz” i w menu „Tryb bezpieczny” naciskamy „OK”. Ofiary LokiBota straciły już ok. 1,5 miliona dolarów. | CHIP.

Źródło: https://plblog.kaspersky.com/lokibot-trojan/8480/