{"id":14447,"date":"2017-11-02T12:42:36","date_gmt":"2017-11-02T10:42:36","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14447"},"modified":"2019-11-22T11:09:38","modified_gmt":"2019-11-22T09:09:38","slug":"lokibot-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/lokibot-trojan\/14447\/","title":{"rendered":"LokiBot: se non ruba, ricatta"},"content":{"rendered":"

Ricordate il mito di Idra di Lerna? Il serpente dalle nove teste, quando se ne tagliava una dal moncherino ne spuntava un\u2019altra? Nello zoo dei malware Android \u00e8 spuntata<\/a> una bestia altrettanto pericolosa.<\/p>\n\n

LokiBot, Trojan bancario<\/strong><\/h3>\n

Qual \u00e8 il comportamento di un normale Trojan bancario? Si presenta all\u2019utente con una falsa schermata che simula l\u2019interfaccia mobile del sito della banca. Le vittime ignare digitano le proprie credenziali d\u2019accesso, che il malware passa ai cybercriminali, i quali possono cos\u00ec entrare nel conto bancario del malcapitato.<\/p>\n

Come si comporta LokiBot invece? Pi\u00f9 o meno allo stesso modo e imita non solo le schermate delle app bancarie ma anche di app di uso ancora pi\u00f9 comune come WhatsApp, Skype e Outlook, inviando notifiche che sembrano proprio provenire da queste applicazioni.<\/p>\n

Facciamo un esempio: all\u2019 utente arriva una falsa notifica che dovrebbe provenire dalla banca, in cui riceve la buona notizia di un bonifico a suo favore. Dopo aver letto la notifica, l\u2019utente entra sul sito con le proprie credenziali di accesso per verificare. LokiBot fa persino vibrare il telefono quando mostra la falsa notifica del presunto bonifico, dettaglio che tranquillizzerebbe anche gli utenti pi\u00f9 attenti.<\/p>\n

Ma LokiBot ha un altro asso nella manica: pu\u00f2 aprire il browser, navigare su alcune pagine in concreto e utilizzare il dispositivo infetto per inviare spam, metodo attraverso il quale si diffonde. Dopo aver prelevato denaro dal conto dell\u2019utente, LokiBot continua la sua opera, inviando un SMS dannoso a tutti i contatti della rubrica per infettare pi\u00f9 smartphone e tablet possibili, rispondendo perfino ai messaggi se necessario.<\/p>\n

Se si cerca di eliminarlo, LokiBot assume un altro aspetto. Per rubare denaro dal conto bancario ha bisogno degli accessi da amministratore; se l\u2019utente non consente tali accessi, il Trojan bancario si trasforma in ransomware.<\/p>\n

LokiBot, ransomware. Come liberare gli smartphone infetti<\/strong><\/h3>\n

A questo punto, LokiBot blocca lo schermo e mostra un messaggio dove accusa la vittima di aver visto materiale pedopornografico e richiede un riscatto, soprattutto perch\u00e9 i dati del dispositivo vengono cifrati. Analizzando il codice di LokiBot, i ricercatori hanno scoperto che il ransomware utilizza un sistema di cifratura debole che non funziona bene: il ransomware, infatti, lascia sul dispositivo una copia non cifrata dei file, che hanno solamente nomi diversi. Ripristinare i file \u00e8 quindi relativamente semplice.<\/p>\n

In ogni caso, lo schermo del dispositivo continua a essere bloccato e i cybercriminali chiedono un riscatto di circa 100 dollari in Bitcoin per sbloccarlo. Ma non sar\u00e0 necessario: dopo aver riavviato il dispositivo in modalit\u00e0 provvisoria, si pu\u00f2 fare in modo che \u00a0il malware<\/a> non abbia pi\u00f9 gli accessi da amministratore ed eliminarlo. Prima di fare tutto ci\u00f2, innanzitutto \u00e8 necessario sapere qual \u00e8 la versione Android installata sul telefono:<\/p>\n