Il trojan bancario LokiBot diventa un ransomware quando si prova a rimuoverlo.

E’ stato individuato un trojan bancario per Android, rinominato LokiBot che si trasforma in un ransomware e blocca lo smartphone quando si prova a rimuoverlo con i privilegi di amministrazione. Il malware è più trojan bancario che ransomware. LockyBot funziona mostrando false schermate di login nelle finestre delle app più popolari: cerca di rubare le credenziali delle app per il banking online, ma mira anche a Skype, Outlook e Whatsapp.

N.B: L’infezione E’ RISOLVIBILE: vedi in fondo all’articolo. 

In vendita nel web
LokiBot è un in vendita nel web, in alcuni forum di hacking. Il prezzo è di 2000 dollari circa da pagarsi, ovviamente, in Bitcoin.
Il pannello di comando e controllo del malware

Che cosa fa?
LokiBot ha molte funzioni, oltre al furto delle credenziali. Ad esempio, appena “dentro” Android, apre il browser e scarica un URL dal quale verrà installato un proxy SOCK5 per reindirizzare il traffico in uscita. Può rispondere automaticamente agli SMS e inviare altri SMS ai contatti della vittima: nella quasi totalità dei casi si tratta di SMS di spam usati per infettare nuovi utenti. Infine può mostrare false notifiche provenienti da altre app. Questa funzionalità serve a ingannare gli utenti facendo loro credere di avere ricevuto del denaro sul proprio conto bancario e per indurli quindi ad aprire l’app di mobile banking. Quando l’utente tocca la notifica, LokiBot mostra una pagina falsa invece dell’app reale: le credenziali di login inserite finiranno nelle mani degli attaccanti.
 
LokiBot è però un ransomware difettoso
Il malware funziona su Android 4.0 e superiori e richiede, per funzionare, i privilegi amministrativi: questi vengono richiesti durante l’installazione. Se un utente decide di rimuovere LokiBot con i privilegi di amministrazione, il malware diventa un ransomware: la buona notizia è che la routine di criptazione è difettosa, quindi il malware non riesce a criptare i file degli utenti. LokiBot infatti cancella gli originali, ma i file criptati vengono subito decriptati: in sunto le vittime non perdono nessun file visto che questi vengono solo rinominati.
Attivazione automatica del ransomware quando si rimuovono i privilegi di amministrazione.
La cattiva notizia è che però la funzione di lockscreen funziona a dovere, quindi il telefono finirà comunque bloccato e verrà visualizzata la richiesta di riscatto (sotto la richiesta di riscatto).

Come si risolve l’infezione?
Poichè i file non vengono criptati correttamente, l’unico problema reale da risolvere è la rimozione del blocco. Occorre quindi avviare lo smartphone in modalità Safe Mode e rimuovere i privilegi di amministrazione assegnati a LokiBot quindi rimuovere l’app compromessa da LokiBot.
Non occorre pagare nessun riscatto: lo diciamo anche perchè i conti Bitcoin contenuti nella richiesta di riscatto detengono oltre 1.5 milioni di dollari in criptovaluta segno che l’infezione è molto estesa e che molti stanno pagando (consapevolmente o meno).