malware-lokibot Fonte foto: Shutterstock
SICUREZZA INFORMATICA

LokiBot, il malware Android che ruba dati bancari e blocca il telefono

LokiBot è uno dei nuovi malware pensati per dispositivi Android, agiscono come dei trojan bancari ma se proviamo a rimuoverli si trasformano in ransomware

24 Ottobre 2017 - I ricercatori per la sicurezza informatica hanno scoperto un nuovo malware trojan pensato per device Android chiamato LokiBot. Si tratta di un virus che si trasforma in ransomware e di conseguenza blocca i telefoni degli utenti, quando tentiamo di rimuovere i privilegi d’amministratore.

Il malware Lokibot a dirla tutta non è un vero e proprio ransomware ma più un trojan bancario, ovvero un attacco informatico pensato per carpire con l’inganno le informazioni riguardanti il nostro conto corrente o la nostra carta di credito. Se ci accorgiamo dell’infezione in corso e proviamo a rimuovere i privilegi d’amministratore al programma maligno si trasforma in ransomware e blocca tutti i dati e i contenuti salvati sul nostro smartphone Android. A scoprire la nuova minaccia informatica per mobile sono stati i ricercatori per la sicurezza della società SfyLabs.

Come agisce il malware

Proprio come la maggior parte dei trojan per Android anche LokiBot funziona mostrando false schermate di accesso alle applicazioni più popolari. Come Facebook, Gmail, Twitter e così via. Secondo i ricercatori, oltre a rubare le nostre informazioni bancarie il malware può anche spiare le nostre conversazioni di Skype e WhatsApp per generare ulteriori truffe nei nostri confronti o per raggiungere anche i nostri contatti. LokiBot è molto simile ad altre famiglie recenti di trojan Android come Svpeng, CryEye, DoubleLocker e ExoBot. I ricercatori hanno trovato nel dark web il kit completo per attuare un attacco con questo informatico. Il suo costo nei forum illegali e di circa 2mila dollari, ovviamente pagati in Bitcoin.

Caratteristiche LokiBot

Nonostante la somiglianza con altri virus, LokiBot ha alcune funzioni uniche rispetto agli altri malware. Per esempio può aprire un browser mobile e caricare un sito per installare un proxy SOCKS5 e reindirizzare così il traffico. Può anche rispondere automaticamente ai messaggi e inviare SMS truffa ai nostri contatti per velocizzare la sua diffusione. LokiBot può mostrare delle “false” notifiche provenienti da altre applicazioni. Il malware utilizza questa funzionalità per ingannare gli utenti che pensano, per esempio, di aver ricevuto un bonifico sul proprio conto bancario e aprono di conseguenza l’applicazione per il mobile banking. Quando l’utente tocca la notifica, Lokibot mostra l’overlay phishing, ovvero la schermata fasulla, invece dell’applicazione reale. E ruba quindi le nostre credenziali.

Come si diffonde il malware

Il nuovo malware è compatibile con sistemi operativi Android 4.0 o superiori. E solitamente si nasconde dietro allegati o app maligne. La buona notizia è che la crittografia usata dal malware per trasformarsi in ransomware, quando rimuoviamo i privilegi d’amministrazione, è debole e non bloccherà a tutti gli effetti i nostri dati. Il telefono resterà comunque inutilizzabile. E il riscatto richiesto è di circa 100 dollari.

Contenuti sponsorizzati