Um malware dando lucro

Um novo malware do Android Bank chamado LokiBot vem com algumas capacidades de ransomware e está sendo vendido na Web escura por US $ 2,000 da Bitcoins. Embora o LokiBot funcione principalmente como um Trojan bancário, ele pode se transformar em um ransomware se as tentativas forem feitas para desativar os direitos de administrador do malware ou quando as vítimas tentarem removê-lo.

Uma vez que o recurso ransomware está ativado, o LokiBot criptografa todos os dados das vítimas. O malware também é capaz de roubar os contatos das vítimas, ler e enviar mensagens SMS e impedir que os usuários acessem seus telefones. O vetor de ataque principal do LokiBot envolve sobreposições de phishing em vários aplicativos bancários. No entanto, o malware também tem como alvo vários aplicativos populares, como WhatsApp, Skype e Outlook. De acordo com especialistas em segurança da Syf Labs, que descobriram o novo malware do Android, os cibercriminosos por trás do LokiBot já arrecadaram mais de US $ 1,5 milhão em Bitcoins.

“É muito improvável que os atores por trás do Android LokiBot ganhem essa quantia de dinheiro usando apenas o LokiBot, uma vez que a taxa solicitada para o Ransomware está entre US $ 70 e US $ 100 e o bot conta nas várias campanhas que vimos geralmente é de cerca de 1000”, disseram pesquisadores. em um blog.

LokiBot e suas características

O LokiBot também vem com algumas características únicas, como iniciar o aplicativo do navegador e abrir uma página específica, respondendo automaticamente a mensagens SMS, iniciando o aplicativo bancário das vítimas, além de enviar notificações falsas, que pretendem ser de aplicativos legítimos. “As notificações de phishing usam o ícone original do aplicativo que eles tentam representar.

Além disso, o telefone é feito para vibrar logo antes de a notificação ser mostrada para que a vítima tome conhecimento disso. Quando a notificação é tocada, isso irá desencadear uma sobreposição ataque “, disseram pesquisadores da Syf Labs.

Felizmente, o vetor de ataque primário da LokiBot não envolve suas capacidades de ransomware. Os pesquisadores da Syf Labs também dizem que a função de criptografia do recurso de ransomware “falha totalmente”, uma vez que os dados criptografados são renomeados apenas. Em outras palavras, as vítimas na verdade não perdem seus dados. Infelizmente, no entanto, o malware ainda consegue ativar seu recurso de armário de tela para bloquear as vítimas de seus telefones. “Uma ameaça é exibida na tela:” O seu telefone está bloqueado para visualizar pornografia infantil “.

Sobre o pagamento

O valor do pagamento varia entre US $ 70 e US $ 100. Os endereços Bitcoin do LokiBot são codificados em formato rígido no APK e não podem ser atualizados a partir do servidor C2, “disseram os pesquisadores. Os operadores da LokiBot parecem estar atualizando continuamente o malware, especialmente seus recursos de detecção de segurança, que, embora não muito avançados, são mais extensos do que os usados por outras variantes de malware bancário na natureza. “Desde o início deste verão, vimos pelo menos 30 a 40 amostras com contagens de bot variando entre 100 e 2.000 bots.

Acreditamos que os autores por trás do LokiBot são bem-sucedidos, com base em seu tráfego BTC e atualizações regulares de bot”, acrescentaram os pesquisadores. “Na verdade, vimos novos recursos surgir no bot quase todas as semanas, o que mostra que o LokiBot está se tornando um trojan de Android forte, visando muitos bancos e aplicativos populares”.