LokiBot: scoperto primo trojan bancario con capacità di ransomware

LokiBot: scoperto primo trojan bancario con capacità di ransomware

Prima o poi sarebbe accaduto: i ricercatori della SfyLabs hanno individuato il primo trojan bancario con capacità di ransomware chiamato LokiBot

Il trojan ruba i dati mostrando all’utente delle false schermate di login falsificando più di 100 app bancarie, esattamente funziona così:

  • mostra notifiche che sembrano provenire da app attendibili 
  • all’apertura mostra una falsa schermata di login dalla quale il trojan ruba i dati inseriti e li trasmette ad un server C&C 
  • capacità di re-indirizzamento del traffico web e di apertura di un browser web 

Inoltre il trojan ha la capacità di trasmettersi via sms e di rispondere automaticamente agli sms con lo scopo di diffondere ulteriormente l’infezione.  

Quando l’utente cerca di rimuovere i privilegi amministrativi del malware, si attiva il modulo ransomware, quindi viene bloccato lo schermo e vengono cifrati i dati dell’utente usando l’algoritmo AES128. 

LokiBot ransom

Fortunatamente i ricercatori hanno scoperto che la cifratura, a causa di un errore di programmazione, non funziona quindi i dati NON vengono cifrati. Permane però il blocco dello schermo, rimovibile avviando il sistema in modalità provvisoria e rimuovendo i privilegi amministrati all’app incriminata e cancellarla dal sistema. 

Leggi anche  Tre plug-in nella piattaforma Wordpress con vulnerabilità zero-day

Per avviare il proprio dispositivo Android in safe mode procedere così:

premere il pulsante di accensione/spegnimento per alcuni secondi 

alla visualizzazione del messaggio di spegnimento, premere nuovamente il pulsante di accensione/spegnimento per alcuni secondi, al termine verrà richiesto di avviare in safe mode, dare OK. 

Per la lista completa delle app oggetto delle falsificazioni e approfondimenti vedere la pagine dei laboratori SfyLabs:

LOKIBOT – THE FIRST HYBRID ANDROID MALWARE

Alvise C.

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected]

Lascia un commento