LokiBot, nuovo trojan bancario per Android

Scovato un malware per la piattaforma mobile di Google pensato per compromettere gli account bancari degli utenti, e per comportarsi da ransomware (almeno in superficie) nel caso in cui si provi ad eliminare l'infezione
Scovato un malware per la piattaforma mobile di Google pensato per compromettere gli account bancari degli utenti, e per comportarsi da ransomware (almeno in superficie) nel caso in cui si provi ad eliminare l'infezione

I ricercatori di SfyLabs hanno individuato una nuova minaccia classificata come LokiBot , un trojan bancario per gadget Android che all’occorrenza prova a far paura all’utente trasformandosi in ransomware . Ma la routine di codifica dei file non funziona come dovrebbe e il malware può essere eliminato, per fortuna, direttamente dall’utente.

Il payload principale di LokiBot consiste nell’interferire nell’attività delle app bancarie legittime, con la visualizzazione di schermate di login fasulle ogni qualvolta l’utente avvia una delle succitate app per il furto delle credenziali di accesso.

LokiBot si differenzia dalla media dei trojan bancari per Android a causa di alcune caratteristiche avanzate come la capacità di visitare un URL tramite un proprio browser Web per installare un proxy SOCK5 , la replica automatica agli SMS in entrata – meccanismo forse utile a inviare messaggi di spam ai contatti presenti in rubrica – la visualizzazione di notifiche fasulle simili a quelle presentate dalle app bancarie originali.

LokiBot ransomware

Al momento i cyber-criminali offrono LokiBot sull’underground telematico con un costo di 2.000 dollari per licenza – da pagare naturalmente in Bitcoin. Il malware funziona sui terminali Android dalla versione 4.0 in su e necessita della concessione dei privilegi di amministratore durante l’installazione.

Qualora l’utente provasse a ritirare i suddetti privilegi precedentemente concessi, però, LokiBot mostra la sua seconda natura entrando in “modalità ransomware” con il blocco del terminale, la visualizzazione di una schermata di “allarme pedopornografia” fasulla con una richiesta del riscatto (100 dollari in Bitcoin entro 48 ore) piuttosto reale e la codifica dei file dell’utente tramite algoritmo AES128.

La codifica dei file non funziona però come dovrebbe , spiegano i ricercatori, visto che i file originali vengono cancellati ma poi sostituiti con una versione decodificata scritta immediatamente dal malware con nomi cambiati .

Anche considerando questo clamoroso svarione, in ogni caso, i criminali a cui si deve la creazione di LokiBot hanno messo in piedi un business non proprio fallimentare: al momento i portafogli virtuali indicati negli avvisi di riscatto contengono qualcosa come 1,5 milioni di dollari in Bitcoin.

Alfonso Maruccia

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

25 10 2017
Link copiato negli appunti