LokiBot è un trojan bancario diffuso su smartphone e tablet Android che si presenta all’utente con una falsa schermata che simula l’interfaccia mobile del sito della banca. Le vittime ignare digitano le proprie credenziali d’accesso che il malware passa ai cybercriminali, i quali possono così entrare nel conto bancario del malcapitato. LokiBot inoltre imita non solo le schermate delle app bancarie ma anche di app di uso ancora più comune come WhatsApp, Skype e Outlook, inviando notifiche che sembrano proprio provenire da queste applicazioni.

Un esempio pratico? A un utente arriva una falsa notifica che dovrebbe provenire dalla banca, in cui riceve la buona notizia di un bonifico a suo favore. Dopo aver letto la notifica, l’utente entra sul sito con le proprie credenziali di accesso per verificare. LokiBot fa persino vibrare il telefono quando mostra la falsa notifica del presunto bonifico, dettaglio che tranquillizzerebbe anche gli utenti più attenti.

A questo punto il trojan può aprire il browser, navigare su alcune pagine in concreto e utilizzare il dispositivo infetto per inviare spam, metodo attraverso il quale si diffonde. Dopo aver prelevato denaro dal conto dell’utente, LokiBot continua la sua opera, inviando un SMS dannoso a tutti i contatti della rubrica per infettare più smartphone e tablet possibili, rispondendo perfino ai messaggi se necessario.

Se si cerca di eliminarlo, LokiBot assume un altro aspetto. Per rubare denaro dal conto bancario, ha bisogno degli accessi da amministratore; se l’utente non consente tali accessi, il trojan si trasforma in ransomware. A questo punto, LokiBot blocca lo schermo e mostra un messaggio dove accusa la vittima di aver visto materiale pedopornografico e richiede un riscatto, soprattutto perché i dati del dispositivo vengono cifrati.

lokibot

Analizzando il codice di LokiBot, i ricercatori hanno scoperto però che il ransomware utilizza in realtà un sistema di cifratura debole; il ransomware, infatti, lascia sul dispositivo una copia non cifrata dei file, che hanno solamente nomi diversi. Ripristinare i file è quindi relativamente semplice.

In ogni caso, lo schermo del dispositivo continua a essere bloccato e i cybercriminali chiedono un riscatto di circa 100 dollari in bitcoin per sbloccarlo. Ma non sarà necessario, visto che dopo aver riavviato il dispositivo in modalità provvisoria, si può fare in modo che il malware non abbia più gli accessi da amministratore e si può così eliminarlo.

Ecco come fare per abilitare la modalità provvisoria per i dispositivi con versione Android dalla 4.4 alla 7.1. Tenete premuto il pulsante di accensione fino a quando compare l’opzione Spegni e le altre opzioni del menu; selezionate l’opzione Attiva modalità provvisoria e riavviate il telefono.

Purtroppo non tutti conoscono questo metodo per mettere fuori uso il malware ed è per questo che LokiBot è riuscito già a estorcere quasi un milione e mezzo di dollari alle vittime. Inoltre, LokiBot è disponibile sul mercato nero pagando solo 2000 dollari.

I consigli per proteggersi da LokiBot valgono per qualsiasi malware mobile. Evitate quindi di cliccare su link sospetti (è così che si propaga LokiBot), scaricate le app solo attraverso Google Play e installate una soluzione di sicurezza affidabile su smartphone e tablet.