Wśród wielu szkodliwych programów na smartfony pojawił się wyjątkowo niebezpieczny. To LokiBot, który Kaspersky Lab - przedsiębiorstwo, zajmujące się tworzeniem oprogramowania zabezpieczającego komputery i smartfony - określiło jako hydrę. Przypomnijmy, mitologiczna Hydra była stworzeniem u którego na miejscu jednej ściętej wyrastały dwie nowe.
Jak działa LokiBot, jak się przed nim chronić i jak odinstalować go ze smartfona - o tym na kolejnych planszach galerii >>>
zobacz też:
LokiBot to ulepszony trojan bankowy, który nie tylko wyświetla fałszywe ekrany, imitujące aplikacje bankowości mobilnej, ale także podszywa się pod takie aplikacje, jak WhatsApp, Skype i Outlook i wyświetla powiadomienia, które rzekomo od nich pochodzą, informując, że ktoś właśnie przelał na konto użytkownika pieniądze. W efekcie właściciel smartfona otrzymuje fałszywe powiadomienie wysłane teoretycznie przez bank, zawierające informację o tym, że ktoś przelał na jego konto pieniądze, i loguje się do klienta bankowości mobilnej. Gdy wyświetlany jest komunikat o przelewie, LokiBot sprawia, że smartfon wibruje, co dodatkowo dezorientuje użytkowników.
LokiBot potrafi otworzyć przeglądarkę, przejść na określone strony, a nawet użyć zainfekowanego urządzenia do wysyłania spamu, który dystrybuuje się właśnie w ten sposób. Po pobraniu pieniędzy z konta LokiBot działa dalej, wysyłając szkodliwy SMS do wszystkich kontaktów znajdujących się w książce telefonicznej w celu zainfekowania tylu smartfonów i tabletów, ile tylko jest możliwe. Co więcej, w razie potrzeby odpowiada na przychodzące wiadomości.
Próba usunięcia LokiBota sprawia, że ten szkodliwy program ujawnia swoje inne oblicze: aby ukraść pieniądze z konta bankowego, potrzebuje on uprawnień administratora. Jeśli nie uda mu się ich uzyskać, przekształca się z trojana bankowego w program żądający okupu. W tym przypadku LokiBot blokuje ekran i wyświetla komunikat, z którego ofiara dowiaduje się, że jest oskarżona o wyświetlanie pornografii dziecięcej i musi zapłacić okup. Ponadto zagrożenie szyfruje również dane na urządzeniu.
Analiza kodu LokiBota wykazała, że używa on słabego szyfrowania, a sam program nie działa poprawnie — na urządzeniu wciąż dostępne są niezaszyfrowane kopie wszystkich plików, jednak mają one inne nazwy. Zatem odzyskanie plików jest stosunkowo proste.
Ekran urządzenia jest blokowany, a za jego przywrócenie autorzy szkodliwego programu żądają około 100 dolarów w bitcoinach. Nie jest to konieczne: po ponownym uruchomieniu urządzenia w trybie bezpiecznym można cofnąć szkodliwemu programowi uprawnienia administratora i usunąć go. W tym celu należy najpierw określić posiadaną wersję Android.
1. Wybierz opcję Ustawienia.
2. Wybierz kartę Ogólne.
3. Wybierz Informacje o urządzeniu.
4. Znajdź opcję Wersja systemu Android — w tym miejscu znajduje się numer wersji systemu operacyjnego.
Aby włączyć bezpieczny tryb na urządzeniu z wersją 4.4 do 7.1:
1. Wciśnij i przytrzymaj przycisk zasilania do momentu, aż pojawi się menu zawierające opcję Wyłącz zasilanie.
2. Wciśnij i przytrzymaj opcję Wyłącz.
3. W menu Tryb bezpieczny kliknij przycisk OK.
4. Poczekaj, aż telefon zostanie uruchomiony ponownie.
Właściciele urządzeń, na których zainstalowane są inne wersje systemu Android, powinni poszukać w internecie informacji na temat tego, jak włączyć tryb bezpieczny w ich telefonie.
