LokiBot Banking Trojan zamienia się w Ransomware podczas usuwana

Computer Security News

SfyLabs bezpieczeństwa naukowcy odkryli, że Android bankowości Trojan o nazwie LokiBot, jest w stanie zwrotnym do kawałka ransomware, podczas, gdy użytkownik próbuje usunąć go.

LokiBot ransomware został zauważony w czerwcu tego roku. Od tego czasu twórcy zagrożenia mają już stale dodając nowe funkcje do niego.

Tak szybko, jak malware zainfekowania urządzenia z systemem Android (z systemem Android w wersji 4.0 lub nowszej, jeden), LokiBot zaczyna wyświetlanie ekranów nakładki na szczycie bankowości i innych popularnych aplikacji, próbuje oszukać ofiar do przekazania ich informacji.

LokiBot ransomware cele około 100 aplikacje bankowe i popularnych aplikacji takich jak Outlook, Skype i WhatsApp. Poza tym zagrożenie jest w stanie otwarcie przeglądarki sieci web użytkownika i przechodzenie do określonej strony, repling na SMS-y i uruchamianie aplikacji bankowości.

“W połączeniu z faktem, że LokiBot może wyświetlać powiadomienia, które wydają się pochodzić z innych aplikacji, zawierających na przykład wiadomość, że nowe fundusze zostały złożone na konto ofiary i pojawiają się ciekawe scenariusze ataku phishing!” Eksperci SfyLabs stwierdził. “Phishing powiadomienia używaj oryginalnej ikony aplikacji, którą starają się podszywać się pod. Ponadto telefon składa się wibrować tuż przed powiadomienie jest wyświetlane tak ofiara będzie zwracać uwagę na to. Po dotknięciu powiadomienia wyzwoli atak nakładki.”

Niemniej jednak główną cechą, która zabezpieczeń eksperci klasyfikowania LokiBot jako złośliwego oprogramowania Android hybrydowe, był jego zdolność do przekształcić ransomware, gdy użytkownicy próbują go usunąć.

Gdy użytkownicy próbują cofnięcia jego uprawnień administratora, LokiBot uruchamia procedurę, aby zaszyfrować wszystkie pliki na zewnętrznym nośniku i blokuje ekran z typowym okup popytu twierdząc, że telefon jest zablokowany dla “oglądanie pornografii.” Następnie ofiar złośliwego oprogramowania są podane 48 godzin zapłacić $70-100 $ “dobrze” w bitcoin.

Naukowcy z SfyLabs odkryli, że adres bitcoin, które Hakerzy już dostępne przechowuje kryptowaluta około 1,5 miliona dolarów. Jednak eksperci trudno uwierzyć, że cała kwota pieniędzy pochodzi z LokiBot ataki, jak spam kampanii zazwyczaj mają tylko około 1000 boty i koszt Trojan, sam jest 2.000 dolarów.

Eksperci odkryli również, że podczas gdy działa funkcja blokowania ekranu, malware nie faktycznie szyfrowanie plików. Ze względu na błąd pliki są automatycznie przywracane są szyfrowane, jednak pod inną nazwą.

Twórców LokiBot ransomware wprowadziły niektóre mechanizmy w celu zapobieżenia analizy dynamicznej, jednak w porównaniu do innych szkodliwych programów, one są nie dostatecznie skomplikowany.

W międzyczasie użytkownicy należy mieć na uwadze, że istnieje inny malware Loki Bot kierowanie na urządzeniach z systemem Windows. Został stworzony w celu kradzieży danych z zainfekowanych komputerów i był używany ten czerwca jako wtórne ładunek w ataku NotPetya.


Leave a Reply

Your email address will not be published. Required fields are marked *