Первый гибридный зловред для Android объединяет функции банковского трояна и шифровальщика. Lokibot нацелен на клиентов банков в Европе, Азии, Австралии и Америке, минуя при этом Россию.

Впервые об этом вирусе еще в августе рассказали специалисты по кибербезопасности испанской компании S21sec. Однако широкую известность зловред обрел только 24 октября, когда свой отчет опубликовали эксперты SfyLabs, одного из разработчиков ПО для защиты Android-устройств.

Этот зловред не следует путать с давно известным одноименным вирусом, который похищает пароли к электронным кошелькам и прочую пользовательскую информацию. Основное предназначение нового Lokibot — воровать данные клиентов 120 банков на четырех континентах. Троян работает на ОС Android 4.0+, умеет перехватывать звонки, отправлять и удалять СМС, запускать установленные приложения, перенаправлять трафик через прокси SOCKS5 и рассылать спам по списку контактов, распространяя заражение дальше. Lokibot может вывести уведомление о поступлении денег, замаскированное под СМС, или легитимное сообщение от установленного на телефоне мобильного банка. Это подталкивает пользователя к тому, чтобы открыть банковское приложение, позволяя зловреду перехватить данные авторизации через фишинговое окно.

Исследователи S21sec отметили, что у Lokibot нет встроенной проверки на песочницу. Зловред останавливает единственное ограничение: если он обнаруживает у аппарата российскую SIM-карту или подключение к российским сотовым сетям.

Уникальная функция Lokibot, которая выделяет его среди прочих банковских троянов — Retefe, Svpeng, Trickbot и других, — запускается, когда пользователь пытается лишить его администраторских прав или удалить. В этом случае зловред блокирует экран и шифрует пользовательские данные на встроенной памяти и внешних носителях (как правило, это SD-карта). За возвращение доступа владельцу аппарата предлагается в течение 48 часов заплатить от 70 до 100 долларов США. Однако функция шифрования работает некорректно, позволяя относительно легко восстановить данные. Хотя оригинальные файлы и удаляются, зашифрованные копии по какой-то причине сразу же расшифровываются обратно. Неприятности для пользователя ограничиваются тем, чтобы разблокировать экран через безопасный режим и вернуть файлам прежние наименования.

По сообщению S21sec, более половины жертв Lokibot проживает в Германии, Турции и Ирландии. Аналитики SfyLabs зафиксировали до двух тысяч заражений и отметили, что создатели Lokibot еженедельно обновляют свой продукт. Через биткоин-кошелек, указанный в требовании выкупа, прошло более 48 BTC — это более 275 тысяч долларов по курсу 26 октября, или почти 16 миллионов рублей. Последний факт наводит на мысль: Lokibot — не главный инструмент злоумышленников, а за распространением трояна стоит профессиональная киберпреступная группировка. Такую сумму явно невозможно собрать с помощью одного шифровальщика, который к тому же и не слишком хорошо справляется со своей ролью.

Категории: Вредоносные программы