51

Oto nowy, niebezpieczny trojan na Androida „z niespodzianką”

Jaką to "niespodziankę" może mieć dla Was koń trojański w systemie Android? Zacznijmy od początku - LokiBot to zupełnie nowe cyberzagrożenie, którego celem jest wykradanie danych bankowych użytkowników. Odbywa się to w niezwykle wyrafinowany sposób - jednak gdy tylko użytkownik postanowi zrobić z tym porządek, ujawni się i wspomniana wyżej niespodzianka. Nieprzyjemna rzecz jasna.

LokiBot to jeden z wielu wirusów, który atakuje użytkowników i jego celem jest wykradzenie danych finansowych. Po infekcji zwieńczonej przez instalację oprogramowania z uprawnieniami administratora przystępuje on do czynności mających na celu zmylenie użytkownika. W popularnych aplikacjach bankowych (nie istnieją dane potwierdzające, że LokiBot jest w stanie „udawać” nasze rodzime instytucje) jest w stanie podmienić ekrany logowania w taki sposób, aby przekazać cybeprzestępcom loginy oraz hasła. Co ciekawe, trojan jest w stanie udawać także inne usługi, na przykład Skype’a, czy Outlooka. LokiBot jest sprzedawany innym hakerom w ramach „licencji” na darkwebowych forach. Wystarczy 2000 dolarów płatne w BTC, aby uzyskać do niego dostęp.

LokiBot jest w stanie otworzyć wyszukiwarkę i załadować zadany adres URL, a nawet przekierować połączenia wychodzące poprzez zainstalowanie proxy SOCKS5. Mało tego, możliwe jest automatyczne odpowiadanie na wszystkie SMS-y, które napłynęły do urządzenia, a nawet generowanie fałszywych powiadomień z aplikacji. Spektrum działania LokiBota jest zatem bardzo szerokie, ale skoro powiedzieliśmy już o „niespodziance”, trzeba wyjaśnić o co chodzi.

android trojan lokibot

Trojan LokiBot wykryje chęć usunięcia go i… odpali atak ransomware

Na szczęście mało skuteczny, bowiem w LokiBocie istnieje pewien błąd, który nie pozwala na pełne zaszyfrowanie urządzenia. Procedura „Go_Crypt” miała w swoim założeniu zablokować ekran użytkownika i zakodować wszystkie pliki za pomocą algorytmu AES128. To jednak nie udaje się do końca i ostatecznie, ofiary nie tracą swoich danych – są one jedynie poddane zmianie nazwy. LokiBot w trybie ransomware żąda od 70 do 100 dolarów za odblokowanie dostępu do telefonu, jednak nie trzeba płacić cyberprzestępcom. Wystarczy jedynie uruchomić urządzenie w trybie Safe Mode, usunąć konto administratora należące do LokiBota oraz jego aplikację.

Nie oznacza to jednak, że LokiBot jest trywialnym, godnym zbagatelizowania zagrożeniem. Bardzo możliwe, że jego twórcy wkrótce dopracują mechanizm szyfrowania danych na tyle, że będzie on działać tak jak należy. Wtedy już, opisywany przez nas koń trojański będzie można z całą śmiałością nazwać bardzo poważnym złośliwym oprogramowaniem, którego „złapanie” może oznaczać bezpowrotną utratę danych. Uważajcie zatem, nie instalujcie niczego spoza oficjalnego sklepu (chyba, że dobrze wiecie co robicie) i nie klikajcie w dziwne, potencjalnie niebezpieczne linki. Sprawdzajcie ponadto, czy używane przez Was aplikacje prezentują poprawne ekrany logowania.