LokiBot: o Banking Trojan
Como Trojans bancários se comportam? Apresentam ao usuário uma tela falsa que simula a interface do aplicativo bancário. Desavisada, a vítima fornece suas credenciais de login, as quais o malware encaminha para o cibercriminoso.
Como o LokiBot se comporta? Praticamente da mesma forma, porém simula não apenas aplicativos bancários, mas também o WhatsApp, Skype e Outlook, ao ponto de exibir notificações imitando esses programas.
Publicidade:Isso significa que a pessoa pode receber uma notificação falsa, supostamente de seu banco, dizendo que fundos foram transferidos a sua conta. Ao receber a boa notícia, entra no aplicativo bancário para confirmar. O LokiBot até faz o smartphone vibrar ao exibir a notificação sobre a suposta transação, o que ajuda a enganar até os mais espertos.
Mas o LokiBot tem outro truque na manga: pode abrir o navegador até páginas específicas, usar o dispositivo infectado para enviar spam (é assim que ele é distribuído). Depois de conseguir dinheiro da conta, o Trojan não para – envia SMS maliciosos para todos os contatos da agenda e infecta tantos smartphone e tablets quanto possível, e pode responder mensagens se necessário.
Caso se tente removê-lo, o malware revela mais uma faceta: para roubar fundos da conta bancária, são necessários direitos de administrador; neste ponto, se o usuário nega as permissões demandadas, o banking Trojan se torna ransomware.
Neste caso, o LokiBot bloqueia a tela e exibe uma mensagem acusando a vítima de ter acessado pornografia infantil e demanda um resgate; além de criptografar o dispositivo. Ao examinar seu código, especialistas descobriram que utiliza criptografia fraca e não funciona como deveria; o ataque deixa cópias desbloqueadas de todos os arquivos no dispositivo, apenas muda os nomes.
Trojan bancário Lokibot
Veja também: Funcionário da Microsoft se obriga a instalar Chrome para continuar apresentação
Publicidade:
Contudo, a tela continua bloqueada e os criadores do malware pedem por volta de US$ 100 em Bitcoins para desbloquear. Você não deve aceitar: depois de reiniciar o dispositivo em modo de segurança, pode retirar os direitos de administrador do malware e deletá-lo. Para isso, você precisa determinar qual versão do Android está no seu dispositivo:
Para habilitar o modo de segurança na Versão 4.4 a 7.1 faça o seguinte:
Donos de dispositivos com outras versões do Android devem procurar por informações sobre como habilitar o modo de segurança.
Infelizmente, nem todo mundo conhece esse método de anular o ransomware: as vítimas do LokiBot já perderam quase US$ 1,5 milhão. Com o malware disponível no mercado clandestino por apenas US$ 2000, é provável que os criminosos por trás do investimento já o receberam de volta.
As medidas de proteção contra o LokiBot são aplicáveis a qualquer dispositivo mobilee também servem para evitar outros tipos de ameaças:
– Nunca clique em links suspeitos – é assim que o LokiBot se espalha.
– Baixe aplicativos apenas da Google Play – mas tenha cuidado mesmo assim.
– Instale uma solução de segurança segura em seu smartphone e tablet.
Publicidade:FONTE: Kaspersky Lab
