Троян LokiBot: не получится ограбить — будет шантажировать

Угрозы

Помните, в античной мифологии была гидра, которой отрубаешь голову – а на ее месте две вырастают? Так вот, в зоопарке зловредов для Android появился такой же опасный зверь.

LokiBot как банковский троянец

Как ведут себя обычные банковские троянцы? Показывают пользователю фальшивый экран, имитирующий интерфейс мобильного банка. Ничего не подозревающая жертва вводит учетные данные, которые зловред переправляет злоумышленникам — и те получают доступ к ее счетам.

Как ведет себя LokiBot? Примерно так же, но он умеет подделывать не только экран банковского приложения, но и интерфейсы мессенджеров WhatsApp, Skype и клиента Outlook, выводя уведомления от имени этих приложений.

Это значит, что человек может получить — якобы от банка — поддельное уведомление о зачислении средств на счет и, обрадовавшись хорошей новости, устремиться в клиент мобильного банка. Для убедительности LokiBot заставляет смартфон вибрировать, когда выводит уведомление о якобы пришедших деньгах, что помогает провести даже внимательных пользователей.

Но у LokiBot в запасе есть и другие трюки: он может открывать браузер и переходить на нужные ему страницы и даже использовать зараженное устройство для рассылки спама — собственно, именно так он и распространяется. Похитив средства с вашего счета, LokiBot не остановится: он разошлет вредоносные SMS всем контактам из телефонной книги, чтобы заразить как можно больше смартфонов и планшетов, а в случае необходимости даже сам ответит на входящие сообщения.

Если попытаться избавиться от LokiBot, зловред покажет себя с новой стороны. Для кражи средств с банковского счета ему нужны права администратора, и если вы попробуете лишить его таких прав, он из банковского троянца превратится в вымогателя.

LokiBot как вымогатель. Как разблокировать

В этом случае LokiBot блокирует экран, обвиняя жертву в просмотре детской порнографии и требуя выкуп, а также шифрует данные на устройстве. Изучив код LokiBot, исследователи выяснили, что он использует слабое шифрование и работает некорректно: после атаки на устройстве остаются незашифрованные копии всех файлов, только под другими названиями. Так что вернуть файлы будет несложно.

Однако остается другая проблема: экран устройства все равно будет заблокирован — и за разблокировку авторы зловреда требуют около $100 в биткоинах. Однако можно оставить их без заработка: перезагрузив устройство в безопасном режиме, можно лишить зловреда прав администратора и удалить его. Для этого сначала вам понадобится определить, какая у вас версия Android:

  • Выберите пункт «Настройки».
  • Выберите вкладку «Общие».
  • Выберите пункт «Об устройстве».
  • Найдите строчку «Версия Android» — цифры под ней и будут обозначать версию вашей ОС

Чтобы включить безопасный режим на устройстве с версией от 4.4 до 7.1, нужно выполнить следующие шаги.

  • Зажать кнопку питания и удерживать ее, пока на экране не появится меню с пунктом «Выключить» или «Отключить питание».
  • Нажать и удерживать пункт «Выключить» или «Отключить питание».
  • В появившемся меню «Переход в безопасный режим» нажать «ОК».
  • Дождаться перезагрузки телефона.

Владельцам устройств с другими версиями Android мы рекомендуем поискать способ включения безопасного режима, подходящий именно вашей модели, в интернете.

К сожалению, об этом способе уничтожения зловреда догадываются не все: жертвы LokiBot уже внесли в кошельки злоумышленников почти 1,5 млн долларов. Поскольку купить LokiBot на черном рынке можно всего за 2 тысячи долларов, надо полагать, преступники многократно окупили свои вложения.

Как защититься от LokiBot?

Меры, которые можно принять, чтобы защититься от LokiBot, в сущности применимы к любым мобильным зловредам. Вот как обезопасить себя:

  • Не кликать на подозрительные ссылки — именно через них распространяется LokiBot.
  • Скачивать приложения только через Google Play.
  • Установить на смартфон и планшет надежное защитное решение. Kaspersky Internet Security для Android детектирует все разновидности LokiBot. Если поставить платную версию, не придется проверять смартфон после установки каждого нового приложения.