Kaspersky Lab porównuje LokiBota do mitologicznej Hydry, której po ścięciu jednej głowy odrastały dwie.
Trojan wyświetla użytkownikom podrobione ekrany aplikacji bankowej oraz fałszywe powiadomienia z innych programów - m.in. WhatsApp, Skype i Outlook - rzekomo od banku, np. o otrzymanym przelewie. Wraz z powiadomieniem o przelewie, smartfon może nawet wibrować. Tym samym trojan „zwabia” do zalogowania się do fałszywej bankowej aplikacji mobilnej. Użytkownik robiąc to zdradza swoje dane, co może skończyć się utratą pieniędzy z rachunku.
To nie wszystko, co potrafi LokiBot. Może on także otworzyć przeglądarkę, wchodzić na konkretne strony, a także rozsyłać spam. To w zasadzie główny metoda jego rozprzestrzeniania. Trojan może także wysyłać SMS-y do osób z listy kontaktów, aby zainfekować kolejne smartfony, a nawet odpowiadać na przychodzące wiadomości.
W sytuacji, gdy użytkownik próbuje cofnąć trojanowi uprawnienia administratora, co uniemożliwiłoby mu kradzież środków z konta bankowego, mutuje się w ransomware blokujący smartfon. W takiej sytuacji użytkownik widzi na ekranie rzekome oskarżenie o oglądanie dziecięcej pornografii i żądanie okupu w wysokości ok. 100 dolarów w bitcoinach. Szyfrowane są także dane na smartfonie, choć okazuje się, że ta blokada nie działa doskonale - kopie wszystkich plików pozostają niezaszyfrowane pod innymi nazwami, więc istnieje możliwość ich odzyskania.
Jak informuje Kaspersky Lab, zapłata okupu nie jest jednak konieczna do odblokowania smartfona. Po ponownym uruchomieniu urządzenia w trybie bezpiecznym można unieszkodliwić program cofając mu uprawnienia administratora i usuwając go.
Kaspersky Lab informuje, że ofiary LokiBota straciły już ponad 1,5 miliona dolarów. Trojan jest dostępny na czarnym rynku za 2 tys. dolarów.
Jak chronić się przez LokiBotem? Tak, jak przed innymi cyberzagrożeniami, czyli m.in. nie klikając w podejrzane linki czy pobierając aplikacje wyłącznie z Google Play.
***
