Prima o poi sarebbe accaduto: i ricercatori della SfyLabs hanno individuato il primo trojan bancario con capacità di ransomware chiamato LokiBot.
Il trojan ruba i dati mostrando all’utente delle false schermate di login falsificando più di 100 app bancarie, esattamente funziona così:
- mostra notifiche che sembrano provenire da app attendibili
- all’apertura mostra una falsa schermata di login dalla quale il trojan ruba i dati inseriti e li trasmette ad un server C&C
- capacità di re-indirizzamento del traffico web e di apertura di un browser web
Inoltre il trojan ha la capacità di trasmettersi via sms e di rispondere automaticamente agli sms con lo scopo di diffondere ulteriormente l’infezione.
Quando l’utente cerca di rimuovere i privilegi amministrativi del malware, si attiva il modulo ransomware, quindi viene bloccato lo schermo e vengono cifrati i dati dell’utente usando l’algoritmo AES128.
Fortunatamente i ricercatori hanno scoperto che la cifratura, a causa di un errore di programmazione, non funziona quindi i dati NON vengono cifrati. Permane però il blocco dello schermo, rimovibile avviando il sistema in modalità provvisoria e rimuovendo i privilegi amministrati all’app incriminata e cancellarla dal sistema.
Per avviare il proprio dispositivo Android in safe mode procedere così:
premere il pulsante di accensione/spegnimento per alcuni secondi
alla visualizzazione del messaggio di spegnimento, premere nuovamente il pulsante di accensione/spegnimento per alcuni secondi, al termine verrà richiesto di avviare in safe mode, dare OK.
Per la lista completa delle app oggetto delle falsificazioni e approfondimenti vedere la pagine dei laboratori SfyLabs:
LOKIBOT – THE FIRST HYBRID ANDROID MALWARE