Исследователи безопасности из компании SfyLabs обнаружили новый банковский Android-троян с несколько необычной функциональностью.
При попытке отзыва привилегий администратора вредонос превращается в вымогательское ПО и блокирует смартфон пользователя. По аналогии с другими мобильными банковскими троянами LokiBot отображает поддельные окна поверх окон легитимных приложений.
В сфере интересов трояна как банковские приложения, так и популярные сервисы Skype, Outlook или WhatsApp. Так же, как Svpeng, CryEye, DoubleLocker, ExoBot и другие Android-семейства, LokiBot продается на подпольных форумах. Его стоимость составляет $2 тыс. в биткойнах. В отличие от других троянов, LokiBot обладает уникальным функционалом, в частности, он может открывать браузер на мобильном устройстве, загружать URL и устанавливать SOCKS5 прокси для перенаправления исходящего трафика.
Кроме того, вредонос способен автоматически отвечать на SMS-сообщения и отправлять сообщения на все номера в списке контактов. По всей видимости, данная функция используется для рассылки спама и инфицирования других жертв. Наконец, LokiBot может отображать фальшивые уведомления якобы от легитимных приложений. Данная функция используется для того, чтобы обманом заставить пользователя открыть банковское приложение, поверх которого вредонос отобразит подложное окно, куда жертва и введет свои данные.
LokiBot работает на устройствах под управлением Android 4.0 и выше. Во время установки он запрашивает права администратора. Если пользователь заподозрит неладное и попытается отозвать привилегии, троян переключается в режим вымогательского ПО. По словам исследователей, данная функция реализована некорректно.
Предположительно, функция Go_Crypt должна блокировать экран мобильного устройства и шифровать содержащиеся на нем файлы с помощью алгоритма AES128. Как выяснилось, из-за некорректной реализации функционала, файлы не шифруются, а просто переименовываются.
Тем не менее, пользователь все равно не сможет получить доступ к содержимому устройства, поскольку экран остается заблокированным. За разблокировку предлагается заплатить выкуп в размере $70 – $100. Для того чтобы избавиться от проблемы, пользователям рекомендуется перезагрузить устройство в безопасном режиме, отозвать права администратора и удалить инфицированное LokiBot приложение.
Несмотря на неудачный вымогательский функционал, операторам кампании по распространению LokiBot удалось неплохо заработать – на счетах их биткойн-кошельков уже скопилось более $1,5 млн в криптовалюте. Более подробный технический отчет и полный список атакуемых LokiBot приложений представлен здесь.