Alfonso Maruccia

LokiBot, nuovo trojan bancario per Android

Scovato un malware per la piattaforma mobile di Google pensato per compromettere gli account bancari degli utenti, e per comportarsi da ransomware (almeno in superficie) nel caso in cui si provi ad eliminare l'infezione

Roma - I ricercatori di SfyLabs hanno individuato una nuova minaccia classificata come LokiBot, un trojan bancario per gadget Android che all'occorrenza prova a far paura all'utente trasformandosi in ransomware. Ma la routine di codifica dei file non funziona come dovrebbe e il malware può essere eliminato, per fortuna, direttamente dall'utente.

Il payload principale di LokiBot consiste nell'interferire nell'attività delle app bancarie legittime, con la visualizzazione di schermate di login fasulle ogni qualvolta l'utente avvia una delle succitate app per il furto delle credenziali di accesso.

LokiBot si differenzia dalla media dei trojan bancari per Android a causa di alcune caratteristiche avanzate come la capacità di visitare un URL tramite un proprio browser Web per installare un proxy SOCK5, la replica automatica agli SMS in entrata - meccanismo forse utile a inviare messaggi di spam ai contatti presenti in rubrica - la visualizzazione di notifiche fasulle simili a quelle presentate dalle app bancarie originali.
LokiBot ransomware

Al momento i cyber-criminali offrono LokiBot sull'underground telematico con un costo di 2.000 dollari per licenza - da pagare naturalmente in Bitcoin. Il malware funziona sui terminali Android dalla versione 4.0 in su e necessita della concessione dei privilegi di amministratore durante l'installazione.

Qualora l'utente provasse a ritirare i suddetti privilegi precedentemente concessi, però, LokiBot mostra la sua seconda natura entrando in "modalità ransomware" con il blocco del terminale, la visualizzazione di una schermata di "allarme pedopornografia" fasulla con una richiesta del riscatto (100 dollari in Bitcoin entro 48 ore) piuttosto reale e la codifica dei file dell'utente tramite algoritmo AES128.

La codifica dei file non funziona però come dovrebbe, spiegano i ricercatori, visto che i file originali vengono cancellati ma poi sostituiti con una versione decodificata scritta immediatamente dal malware con nomi cambiati.

Anche considerando questo clamoroso svarione, in ogni caso, i criminali a cui si deve la creazione di LokiBot hanno messo in piedi un business non proprio fallimentare: al momento i portafogli virtuali indicati negli avvisi di riscatto contengono qualcosa come 1,5 milioni di dollari in Bitcoin.

Alfonso Maruccia

fonte immagine
Notizie collegate
45 Commenti alla Notizia LokiBot, nuovo trojan bancario per Android
Ordina
  • 9 di 10 commenti sono del COGLIONAZZO. Bannatelo! Mannaggia il porco del diavolo immondo.
    non+autenticato
  • - Scritto da: maxzizz
    > 9 di 10 commenti sono del COGLIONAZZO. Bannatelo!
    > Mannaggia il porco del diavolo immondo.

    Ma se bannano il COGLIONAZZO poi nessuno viene più qui su PI a farsi quattro risate
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Ma se bannano il COGLIONAZZO poi nessuno viene
    > più qui su PI a farsi quattro
    > risate
    Finché c'è panda c'è speranza ...
    che il divertimento continui
    non+autenticato
  • Gli utenti di Linux sono persone annoiate dalla società in cui vivono, cercano risposte altrove: nel movimento "free source" e nei valori che esso vuole (o vorrebbe) trasmettere. Amano scaricare i film e non hanno grande stima per il mondo lavorativo, anzi, spesso sono disoccupati (a volte si riuniscono in centri sociali). Non mostrano ideali forti, propositivi.
    non+autenticato
  • Questo messaggio lo hai scritto mentre stai in bagno con una rivista porno.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Questo messaggio lo hai scritto mentre stai in
    > bagno con una rivista
    > porno.

    Ah !! Conosci bene le abitudini di un linaro, quindi anche tu utente Linux...
    Allora poi quando esci dal bagno lascia pure dentro la rivista, qualche altro linaro del forum ti darà certamente il cambio....
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Questo messaggio lo hai scritto mentre stai in
    > bagno con una rivista
    > porno.

    Eh già, perchè tu quando sei in bagno con una rivista porno la prima cosa a cui pensi sono gli utenti linux....
    E quando trombi a cosa pensi ? A Mastro Torvaldo o a Riccardino Stalla-man ?
    non+autenticato
  • - Scritto da: peppe
    > Eh già, perchè tu quando sei in bagno con una
    > rivista porno la prima cosa a cui pensi
    Non è fornito di alcun oggetto per poter effettuare l'operazione "pensa"
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Questo messaggio lo hai scritto mentre stai in
    > bagno con una rivista porno.
    Ed era il momento in cui tu nascevi, poi eliminato dalla società tirando lo sciacquone
    Buon viaggio st...
    non+autenticato
  • 1500000/100=15000 androidi gabbati.

    Mica male.

    L'unica domanda che mi sorge spontanea è: questi 15000 sono sure maria da play store o cantinari all'assalto di store alternativi?

    Chissà.

    Imbecille, sei uno di questi?
    maxsix
    10650
  • - Scritto da: maxsix
    > 1500000/100=15000 androidi gabbati.
    >
    > Mica male.
    >

    http://punto-informatico.it/b.aspx?i=4408455&m=440...
    non+autenticato
  • - Scritto da: f832ba6e1b5
    > - Scritto da: maxsix
    > > 1500000/100=15000 androidi gabbati.
    > >
    > > Mica male.
    > >
    >
    E imbecille ha puntualmente risposto
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: f832ba6e1b5
    > > - Scritto da: maxsix
    > > > 1500000/100=15000 androidi gabbati.
    > > >
    > > > Mica male.
    > > >
    > >
    > E imbecille ha puntualmente risposto

    Non è lui.

    Arriva arriva, tranquillo.
    maxsix
    10658
  • per ora l'unico imbecille sei tu
    non+autenticato
  • ....per i crampi alle dita, a continuare a commentare un giorno si e un giorno si i malware di androcessoid.... Perplesso
    però mi viene da ridere se penso a tutti quei rimbambiti del forum che negano commentando: "...ma windows....", "...ma Apple...." Rotola dal ridereRotola dal ridereRotola dal ridere
    e che dire di quelli che basta mettere vicino le parole "Android" e "malware" che gli viene una crisi epilettica ? Rotola dal ridereRotola dal ridereRotola dal ridere
    eh certo !! androicessoid non può avere malware, androcessoid è linux !! Rotola dal ridereRotola dal ridereRotola dal ridere
    .....da scompisciarsi... Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • > androcessoid è linux !!

    Quindi oggi android è linux.
    Berù segna.
    maxsix
    10658
  • Complimenti. Sei riuscito a scrivere 4 commenti con due nick diversi in 4 minuti. Bel ritmo.
    non+autenticato
  • - Scritto da: f832ba6e1b5
    > Complimenti. Sei riuscito a scrivere 4 commenti
    > con due nick diversi in 4 minuti. Bel
    > ritmo.
    beh, neanche tu scherzi, tre cretinate un una 20na di minuti. C'è cmq margine di miglioramento se ti impegni
    non+autenticato
  • - Scritto da: f832ba6e1b5
    > Complimenti. Sei riuscito a scrivere 4 commenti
    > con due nick diversi in 4 minuti. Bel
    > ritmo.

    Prego?

    Non sono mica giaguaro / fuddaro / imbecille di turno.
    maxsix
    10658
  • - Scritto da: maxsix
    >
    > Non sono mica giaguaro / fuddaro / imbecille di turno.

    Complimenti!
    Tutti commenti altamente tecnici; del resto, possiamo capirvi, sarebbe uno spreco di tempo commentare seriamente gli articoli di Maruccia.

    Io ancora aspetto di conoscere personalmente qualche idiota che si è fatto fregare da questo trojan.
    Su PI abbiamo letto ormai centinaia di articoli su presunti malware per Android, ma ancora non abbiamo visto un solo misero caso reale (tranne i video su YouTube di deficienti che si infettano da soli); tutto questo sembra molto strano ...

    Portateci qui almeno uno di questi idioti che lo vogliamo conoscere.
    non+autenticato
  • Quelli che hanno l'Iphone, li riconosci subito!

    Io ho un Iphone, lo cracco/sblocco/quellochevuoi, vado in uno store "alternativo", mi becco una supposta da un chilo e mezzo... e la colpa è dell'Iphone?

    Che modello hai?
    non+autenticato
  • - Scritto da: Fan innamorato di Bertuccia il macaco
    > Quelli che hanno l'Iphone, li riconosci subito!
    >
    Sentiamo il professore.

    > Io ho un Iphone, lo cracco/sblocco/quellochevuoi,
    > vado in uno store "alternativo", mi becco una
    > supposta da un chilo e mezzo... e la colpa è
    > dell'Iphone?
    >
    Professore, rileggi la mia considerazione.
    Con calma eh.

    Poi torna.
    maxsix
    10658
  • Oh Volpe purpurea! Rispondevo a "andropausa oid"
    Anche tu hai l'aifone gold?
    non+autenticato
  • - Scritto da: Fan innamorato di Bertuccia il macaco
    > Oh Volpe purpurea! Rispondevo a "andropausa oid"

    Oh scusa professore, hai ragione ho visto male

    > Anche tu hai l'aifone gold?

    No, grigio e parecchio vissuto.
    Quindi?
    maxsix
    10658
  • - Scritto da: maxsix
    > - Scritto da: Fan innamorato di Bertuccia il
    > macaco
    > > Oh Volpe purpurea! Rispondevo a "andropausa
    > oid"
    >
    > Oh scusa professore, hai ragione ho visto male
    >
    > > Anche tu hai l'aifone gold?
    >
    > No, grigio e parecchio vissuto.
    > Quindi?

    quindi sei un pezzente. compra un X o al minimo un 8, antrimenti qui non farti piu' vedere.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)