LokiBot Banking Trojan förvandlas till Ransomware samtidigt tas bort

Computer Security News

SfyLabs säkerhet forskarna har funnit att Android bank Trojan som heter LokiBot, är kapabel att förvandlas till en bit av ransomware medan användare försöker ta bort den.

LokiBot ransomware har setts i juni, i år. Sedan dess har skaparna av hotet har ständigt lägga till nya funktioner till den.

Så snart malware infekterar en Android-enhet (som kör Android version 4.0 eller nyare), LokiBot börjar Visa överlägget skärmar ovanpå banktjänster och andra populära applikationer, försöker lura offren att lämna över sin information.

LokiBot ransomware mål cirka 100 banktjänster och populära appar såsom Outlook, Skype och WhatsApp. Hotet är dessutom kan öppna användarens webbläsare och navigera till en viss sida, repling till SMS-meddelanden, och lansera banktjänster.

”Kombinera detta med det faktum att LokiBot kan visa meddelanden som verkar komma från andra appar, som innehåller till exempel ett meddelande som nya fonder har deponerats på offrets konto och intressanta scenarier för phishing-attack uppstår”! den SfyLabs experter anges. ”De phishing-meddelandena använder den ursprungliga ikonen för programmet de försöker imitera. Dessutom telefonen görs att vibrera rätt innan anmälan visas offret kommer att ta notis om detta. När anmälan är knackade det kommer att utlösa en overlay attack ”.

Ändå var den viktigaste funktionen som gjorde säkerhetsexperter klassificera LokiBot som en hybrid Android malware, dess förmåga att omvandla till ransomware när användare försöker ta bort den.

När användare försöker återkalla dess admin privilegier, LokiBot startar ett förfarande för att kryptera alla filer på enhetens extern lagring och låses skärmen med en typisk lösen efterfrågan hävdar att telefonen är låst för ”Visa barnpornografi”. Sedan, malware offren ges 48 timmar att betala en $70 – $100 ”böter” i bitcoin.

Forskarna från SfyLabs fann att den bitcoin epostadressen som hackare redan lagrar kryptovaluta värd ungefär $1,5 miljoner. Experterna tror dock knappast att hela mängden pengar kommer från LokiBot attacker som spam kampanjer har i allmänhet endast omkring 1 000 robotar och trojanen själv kostar det $2,000.

Experterna har också upptäckt att även funktionen skärmen-låsning fungerar, malware faktiskt inte kryptera filer. På grund av ett fel återställs filer automatiskt efter krypteras, dock med ett annat namn.

Skaparna av LokiBot ransomware har genomfört några mekanismer för att förhindra dynamisk analys, men jämfört med andra skadliga program, dessa är inte sofistikerade nog.

Under tiden, användare bör ha i åtanke att det finns en annan Loki Bot malware inriktning Windows-enheter. Det skapades för att stjäla data från infekterade datorer och användes i juni som en sekundär nyttolast i NotPetya attacken.


Leave a Reply

Your email address will not be published. Required fields are marked *