LokiBot – nowy trojan, który karze użytkownika za próbę usunięcia wirusa

mm Michał Derej Artykuły 2017-10-25

Z każdą aktualizacją Android staje się systemem coraz bezpieczniejszym, lecz nie oznacza to, że cyberprzestępcy nie tworzą na niego nowych wirusów. LokiBot, czyli złośliwe oprogramowanie, które zostało niedawno odkryte przez ekspertów zajmujących się bezpieczeństwem w sieci, jest doskonałym przykładem tego, jak rozwijają się wirusy na systemach mobilnych. Okazuje się bowiem, że próba usunięcia LokiBota ze swojego urządzenia mobilnego może być dość zaskakująca dla użytkownika.

Jaką niespodziankę kryje LokiBot?

Z pozoru trojan ten jest wyłącznie prostą aplikacją, która zajmuje się kradzieżą danych dostępu do kont bankowych oraz haseł do aplikacji takich jak Skype, Outlook lub WhatsApp. Podobnie jak pozostałe rozwiązania tego typu, LokiBot korzysta z wielu systemowych uprawnień oraz konta administratora urządzenia, by wyświetlać nakładkę systemową z nieprawdziwym oknem logowania nad daną aplikacją. To jednak nie wszystkie sztuczki, z których korzysta ten wirus. Okazuje się, że ma on również możliwość odczytywania oraz wysyłania SMS-ów (w ten sposób LokiBot pobiera kody weryfikacyjne oraz infekuje nowych użytkowników), a także tworzy nowe proxy w systemie, przez które przekierowywany jest cały ruch sieciowy.

Zobacz też: Floating Bar dla każdego telefonu

Sposób pozyskiwania danych do kont bankowych również zasługuje na wyróżnienie – w tym celu złośliwy program wyświetla powiadomienie o otrzymaniu danej kwoty pieniędzy przez użytkownika. Zaintrygowany właściciel smartfona sprawdza więc swoje operacje, jednocześnie podając wszystkie swoje informacje logowania cyberprzestępcom.

Co ciekawe, problemy osób zainfekowanych pogłębiają się w chwili próby odinstalowania złośliwej aplikacji. Jeśli LokiBot wykryje, że użytkownik planuje usunąć go z systemu, to zmienia się w oprogramowanie typu ransomware i rozpoczyna szyfrowanie wszystkich danych użytkownika zgromadzonych na urządzeniu przenośnym. Na całe szczęście osoby stojące za tym wirusem popsuły kod źródłowy programu, więc każdy plik jest szyfrowany i jego oryginalna wersja jest usuwana, lecz ze względu na błąd LokiBot natychmiastowo odszyfrowuje wszystkie dokumenty i zdjęcia. Co ciekawe, po zakończonym procesie „szyfrowania” na ekranie użytkownika wyświetla się następujący komunikat z prośbą o zapłatę okupu:

Jak usunąć wirusa?

Okupu oczywiście nie trzeba płacić, ponieważ bezpieczne usuwanie wirusa sprowadza się do uruchomienia urządzenia w trybie bezpiecznym (niestety kombinacja klawiszowa dla każdego smartfona jest inna), usunięcia praw administratora aplikacji LokiBot oraz jej odinstalowania. Co ciekawe, nie wszyscy użytkownicy Androida zdecydowali się podążyć tą bezpłatną i bezpieczną drogą – na portfelu BitCoin cyberprzestępców aktualnie znajduje się krytowaluta warta ponad 5 milionów złotych, a kwota ta ciągle rośnie. Nieprawdopodobne jest to, by tę olbrzymią sumę wpłaciły wyłącznie osoby zainfekowane LokiBotem – autorzy tej aplikacji są również prawdopodobnie twórcami innych programów działających na tej samej zasadzie. Warto pamiętać, że na liście kompatybilnych z aplikacją banków znajdują się również polskie pozycje, więc obywatele naszego kraju również są potencjalnym celem ataku. Zachowajcie ostrożność i uważajcie na to, jakie uprawnienia przyznajecie aplikacjom!

Źródło: bleepingcomputer



  • Kara użytkownika?!?

    • Michał Derej

      Też tak teraz na to spojrzałem i się zawiodłem, poprawione.

    • Szymon L

      Wielka kara, ciężka bara, boleć bardzo bardzo.