LokiBot: scoperto primo trojan bancario con capacità di ransomware

Prima o poi sarebbe accaduto: i ricercatori della SfyLabs hanno individuato il primo trojan bancario con capacità di ransomware chiamato LokiBot

Il trojan ruba i dati mostrando all’utente delle false schermate di login falsificando più di 100 app bancarie, esattamente funziona così:

  • mostra notifiche che sembrano provenire da app attendibili 
  • all’apertura mostra una falsa schermata di login dalla quale il trojan ruba i dati inseriti e li trasmette ad un server C&C 
  • capacità di re-indirizzamento del traffico web e di apertura di un browser web 

Inoltre il trojan ha la capacità di trasmettersi via sms e di rispondere automaticamente agli sms con lo scopo di diffondere ulteriormente l’infezione.  

Quando l’utente cerca di rimuovere i privilegi amministrativi del malware, si attiva il modulo ransomware, quindi viene bloccato lo schermo e vengono cifrati i dati dell’utente usando l’algoritmo AES128. 

Fortunatamente i ricercatori hanno scoperto che la cifratura, a causa di un errore di programmazione, non funziona quindi i dati NON vengono cifrati. Permane però il blocco dello schermo, rimovibile avviando il sistema in modalità provvisoria e rimuovendo i privilegi amministrati all’app incriminata e cancellarla dal sistema. 

Per avviare il proprio dispositivo Android in safe mode procedere così:

premere il pulsante di accensione/spegnimento per alcuni secondi 

alla visualizzazione del messaggio di spegnimento, premere nuovamente il pulsante di accensione/spegnimento per alcuni secondi, al termine verrà richiesto di avviare in safe mode, dare OK. 

Per la lista completa delle app oggetto delle falsificazioni e approfondimenti vedere la pagine dei laboratori SfyLabs:

LOKIBOT – THE FIRST HYBRID ANDROID MALWARE

Articoli Correlati

Aggiornamento KB5034763: problemi associazioni URL (W10)

Svelata la data in cui arriverà “Moonvale”

Copilot sarà disponibile su vari dispositivi Win10