LokiBot Banking Trojan berubah menjadi Ransomware sementara yang dihapus

Computer Security News

SfyLabs keamanan peneliti telah menemukan bahwa Android perbankan Trojan yang disebut LokiBot, mampu berubah menjadi sepotong ransomware ketika pengguna mencoba untuk menghapusnya.

LokiBot ransomware telah dinodai di bulan Juni, tahun ini. Sejak itu, pencipta ancaman telah terus menambahkan fitur baru untuk itu.

Segera setelah malware menginfeksi perangkat Android (menjalankan Android versi 4.0 atau lebih baru satu), LokiBot mulai menampilkan tampilan layar di atas perbankan dan aplikasi populer lainnya, mencoba untuk menipu para korban agar menyerahkan informasi mereka.

LokiBot ransomware target sekitar 100 perbankan aplikasi dan aplikasi populer seperti Outlook, Skype dan WhatsApp. Selain itu, ancaman mampu membuka browser web pengguna dan navigasi ke halaman tertentu, repling untuk pesan SMS, dan meluncurkan aplikasi perbankan.

“Menggabungkan ini dengan fakta bahwa LokiBot dapat menunjukkan pemberitahuan yang tampak datang dari aplikasi lain, yang mengandung misalnya pesan bahwa dana baru telah didepositkan ke rekening korban dan skenario serangan phishing yang menarik muncul!” SfyLabs ahli dinyatakan. “Phishing pemberitahuan menggunakan ikon asli dari aplikasi mereka mencoba untuk meniru. Selain itu, telepon dibuat untuk bergetar tepat sebelum pemberitahuan ditampilkan sehingga korban akan mengambil pemberitahuan itu. Ketika pemberitahuan mengetuk akan memicu serangan overlay.”

Namun demikian, fitur utama yang membuat pakar keamanan mengklasifikasikan LokiBot sebagai hybrid Android malware, adalah kemampuan untuk berubah menjadi ransomware ketika pengguna mencoba untuk menghapusnya.

Ketika pengguna mencoba untuk mencabut hak admin, LokiBot mulai tata cara mengenkripsi semua file pada perangkat penyimpanan eksternal dan mengunci layar dengan khas tebusan permintaan mengklaim bahwa telepon terkunci untuk “melihat pornografi anak.” Kemudian, korban malware diberi 48 jam untuk membayar $70 – $100 “denda” bitcoin.

Para peneliti dari SfyLabs menemukan bahwa alamat bitcoin hacker yang sudah disediakan toko cryptocurrency bernilai sekitar $1,5 juta. Namun, para ahli tidak percaya bahwa seluruh jumlah uang yang berasal dari serangan LokiBot sebagai kampanye spam umumnya memiliki hanya sekitar 1.000 bot dan biaya Trojan itu sendiri adalah $2.000.

Para ahli juga menemukan bahwa sementara fungsi mengunci layar bekerja, malware benar-benar tidak mengenkripsi file. Karena kesalahan, file yang dipulihkan secara otomatis setelah menjadi dienkripsi, meskipun, dengan nama yang berbeda.

Pencipta LokiBot ransomware telah menerapkan beberapa mekanisme untuk mencegah analisis dinamis, namun, bila dibandingkan dengan malware lainnya, ini adalah tidak cukup canggih.

Sementara itu, pengguna harus diingat bahwa ada lain Loki Bot malware penargetan perangkat Windows. Itu diciptakan untuk mencuri data dari komputer yang terinfeksi dan digunakan Juni ini sebagai muatan sekunder dalam serangan NotPetya.


Leave a Reply

Your email address will not be published. Required fields are marked *