LokiBot: Trojan ngân hàng trên Android biến thành ransomware khi bạn cố xóa đi

Các nhà an ninh vừa phát hiện một trojan ngân hàng mới trên Android có tên LokiBot biến thành mã độc tống tiền và khóa điện thoại khi người dùng cố xóa quyền admin của nó.

Malware này giống một trojan ngân hàng hơn là ransomware và cũng được dùng cho mục đích đó là chủ yếu. Cũng như các trojan ngân hàng trên điện thoại khác, LokiBot hiển thị màn hình đăng nhập giả trên các ứng dụng phổ biến. LokiBot nhắm tới các ứng dụng ngân hàng di động nhưng cũng nhắm tới 1 số ứng dụng khác như Skype, Outlook hay WhatsApp.

LokiBot được bán trên mạng với giá $2.000

Như Svpeng, CryEye, DoubeLocker, ExoBot và một số malware Android khác gần đây, LokiBot được bán trên diễn đàn hacking với mức giá là $2.000 trả bằng Bitcoin.

So với những trojan ngân hàng khác, LokiBot cũng có những tính năng riêng. Với người mới dùng, nó có thể mở trình duyệt trên di động và tải URL, cài proxy SOCKS5 để chuyển hướng traffic ngoài.

Nó cũng tự động nhắn lại tin SMS và gửi tin SMS tới tất cả danh bạ của nạn nhân, một tính năng thường được dùng để gửi spam để lây nhiễm sang người dùng mới.

LokiBot cũng hiển thị thông báo giả để lừa người dùng nghĩ rằng họ nhận được tiền trong tài khoản ngân hàng và mở ứng dụng ngân hàng ra. Khi người dùng mở thông báo, LokiBot sẽ hiển thị màn hình lừa đảo chèn lên ứng dụng thật.

Hành vi của LokiBot gặp lỗi

Malware này hoạt động trên Android 4.0 trở lên và cần có quyền admin nên nó sẽ hỏi trong lúc cài đặt. Nếu người dùng phát hiện ra lừa đảo và xóa quyền admin, LokiBot sẽ biến thành mã độc tống tiền nhưng rất may là việc thực thi khi chuyển sang ransomware lại gặp lỗi và không thể mã hóa tập tin người dùng.

Thông báo tống tiền khi LokiBot chuyển thành mã độc tống tiền

Theo SfyLabs, chức năng ransomware Go_Crypt của LokiBot đáng ra sẽ khóa màn hình và mã hóa tập tin bằng thuật toán AES128.

Nhưng điện thoại vẫn bị khóa

Dù tập tin không bị mã hóa nhưng màn hình điện thoại của nạn nhân vẫn bị khóa và hiển thị thông báo tống tiền đòi từ $70 tới $100. Để mở khóa bạn phải mở ở chế độ Safe Mode và loại bỏ LokiBot.

Dù tống tiền không phải việc chính của LokiBot nhưng những kẻ đứng sau mã độc này vẫn kiếm được khoản tiền kha khá khi tài khoản Bitcoin có hơn 1,5 triệu đô.

Hai tuần trước, ESET phát hiện ra DoubleLocker, ransomware trên Android phát triển từ trojan ngân hàng Svpeng. Không như LokiBot, DoubleLocker là một mã độc tống tiền từ đâu và hoàn toàn mã hóa tập tin của người dùng.