LokiBot: Se não rouba, chantageia

Este mobile banking Trojan versátil se transforma em um ransomware na menor tentativa de remoção.

Lembra da Hidra da mitologia grega? A serpente de muitas cabeças na qual duas cabeças cresciam no lugar de uma cortada? Uma fera similar apareceu no zoológico dos malwares do Android.

LokiBot: o Banking Trojan

Como Trojans bancários se comportam? Apresentam ao usuário uma tela falsa que simula a interface do aplicativo bancário. Desavisada, a vítima fornece suas credenciais de login, as quais o malware encaminha para o cibercriminoso.

Como o LokiBot se comporta? Praticamente da mesma forma, porém simula não apenas aplicativos bancários, mas também o WhatsApp, Skype e Outlook, ao ponto de exibir notificações imitando esses programas.

Isso significa que a pessoa pode receber uma notificação falsa, supostamente de seu banco, dizendo que fundos foram transferidos a sua conta. Ao receber a boa notícia, entra no aplicativo bancário para confirmar. O LokiBit até faz o smartphone vibrar ao exibir a notificação sobre a suposta transação, o que ajuda a enganar até os mais espertos.

Mas o LokiBit tem outro truque na manga: pode abrir o navegador até páginas específicas, usar o dispositivo infectado para enviar spam (é assim que ele é distribuído). Depois de conseguir dinheiro da conta, o Trojan não para – envia SMS maliciosos para todos os contatos da agenda e infecta tantos smartphone e tablets quanto possível, e pode responder mensagens se necessário.

Caso se tente removê-lo, o malware revela mais uma faceta: para roubar fundos da conta bancária, são necessários direitos de administrador; neste ponto, se o usuário nega as permissões demandadas, o banking Trojan se torna ransomware.

LokiBot: o ransomware

Neste caso, o LokiBot bloqueia a tela e exibe uma mensagem acusando a vítima de ter acessado pornografia infantil e demanda um resgate; além de criptografar o dispositivo. Ao examinar seu código, pesquisadores descobriram que utiliza criptografia fraca e não funciona como deveria; o ataque deixa cópias desbloqueadas de todos os arquivos no dispositivo, apenas muda os nomes.

Contudo, a tela continua bloqueada e os criadores do malware pedem por volta de US$ 100 em Bitcoins para desbloquear. Você não tem de aceitar: depois de reiniciar o dispositivo em modo de segurança, pode retirar os direitos de administrador do malware e deletá-lo. Para isso, você precisa determinar qual versão do Android está no seu dispositivo:

  • Vá em Configurar
  • Selecione a aba Geral
  • Selecione Sobre o dispositivo
  • Encontre a linha Versão do Android – o número abaixo indica a versão do Android

Para habilitar o modo de segurança na Versão 4.4 a 7.1 faça o seguinte:

  • Pressione e segure o botão de ligar até que apareça o menu com a opção Desligar ou Desconectar fonte de energia.
  • Segure e pressione a opção Desligar ou Desconectar fonte de energia.
  • Em Ligar em modo de segurança no menu que aparece, clique em
  • Espere o celular reiniciar.

Donos de dispositivos com outras versões do Android devem procurar por informações online sobre como habilitar o modo de segurança.

Infelizmente, nem todo mundo conhece esse método de matar o ransomware: as vítimas do LokiBot já perderam quase US$ 1,5 milhão. Com o malware disponível no mercado clandestino por apenas US$ 2000, é provável que os criminosos por trás do investimento já o receberam de volta.

Como se proteger

No fim, as medidas de proteção contra o LokiBot são aplicáveis a qualquer dispositivo mobile:

– Nunca clique em links suspeitos – é assim que o LokiBot se espalha.

– Baixe aplicativos apenas da Google Play – mas tenha cuidado mesmo assim.

– Instale uma solução de segurança segura em seu smartphone e tablet. O Kaspersky para Android detecta todas as variantes do LokiBot. Com a versão paga, não é preciso verificar o smartphone toda vez que adquirir um aplicativo novo.

Dicas