LokiBot : s’il ne vole pas, il fait de l’extorsion

Ce cheval de Troie bancaire mobile et versatile se transforme en ransomware s’il détecte une tentative de suppression.

Vous souvenez-vous de l’hydre de la mythologie ? Ce serpent à plusieurs têtes qui faisait pousser deux têtes quand l’une était coupée ? Une bête tout aussi dangereuse est apparue dans le zoo des malwares pour Android.

LokiBot en tant que cheval de Troie bancaire

Comment les chevaux de Troie bancaires se comportent-ils ? Ils présentant à l’utilisateur un faux écran qui simule l’interface bancaire mobile. Les victimes innocentes insèrent leurs identifiants de connexion que le malware redirige aux attaquants, leur donnant ainsi accès aux comptes.

Comment LokiBot se comporte-t-il ? Grosso modo de la même manière, mais il ne fait pas que simuler un écran d’application bancaire, mais aussi les interfaces client de WhatsApp, Skype et Outlook en affichant des notifications qui viennent supposément de ces applications.

Cela veut dire qu’une personne peut recevoir une fausse notification de leur banque annonçant que des fonds ont été transférés sur leur compte ; en voyant cette bonne nouvelle, l’utilisateur est susceptible de se connecter au client bancaire mobile pour voir la confirmation. LokiBot fait même vibrer le smartphone quand il affiche la notification à propos du transfert supposé, ce qui aide à tromper même les utilisateurs les plus attentifs.

Mais LokiBot a un autre as dans sa manche : il peut ouvrir un navigateur, naviguer sur des pages spécifiques et même utiliser un appareil infecté pour envoyer des spams ; c’est sa manière de se propager. Après avoir ponctionné de l’argent sur votre compte, LokiBot continue à fonctionner en envoyant un SMS malveillant à tous vos contacts pour infecter autant que de smartphones et de tablettes que possible, en répondant même aux messages reçus si nécessaire.

Si l’utilisateur tente de supprimer LokiBot, le malware révèle une autre de ses facettes : pour voler des fonds d’un compte bancaire, il a besoin de droits d’administrateurs ; si vous tentez de lui refuser la permission, il mute ; au lieu d’un cheval de Troie bancaire, il devient un ransomware.

LokiBot sous forme de ransomware. Comment débloquer un smartphone

Dans ce cas, LokiBot bloque l’écran et affiche un message accusant la victime de voir de la pornographie infantile et exige une rançon. Il chiffre également les données de l’appareil. En examinant le code de LokiBot, les chercheurs ont découvert qu’il utilise un chiffrement faible et ne fonctionne pas correctement ; l’attaque laisse des copies non chiffrées de l’appareil sur l’appareil, simplement avec d’autres noms ; les restaurer est donc relativement facile.

Cependant, l’écran de l’appareil est toujours bloqué, et les créateurs de malwares demandent 100 $ en Bitcoin pour le débloquer. Mais vous n’êtes pas obligé de céder : après avoir rebooté l’appareil en mode sécurisé, vous pouvez retirer les droits d’administrateur au malware et le supprimer. Pour cela, vous devez d’abord déterminer quelle version d’Android vous avez :

· Sélectionnez Paramètres.
· Sélectionnez l’onglet Général.
· Sélectionnez À propos de l’appareil.
· Trouvez la ligne version Android — les chiffres en dessous de cette ligne indiquent la version de votre système.

Pour activer le mode sécurisé sur un appareil de version 4.4 à 7.1, faites ce qui suit :

· Maintenez appuyé le bouton d’alimentation jusqu’à ce qu’un menu apparaisse avec l’option Éteindre ou Déconnecter la source d’alimentation.
· Maintenez appuyé Éteindre ou Déconnecter la source d’alimentation.
· Dans le menu Activer le mode sécurisé qui apparaît, cliquez sur OK.
· Attendez que le téléphone redémarre.

Nous recommandons aux propriétaires de périphériques avec d’autres versions d’Android de rechercher en ligne des informations permettant d’activer le mode sécurisé pour leur téléphone.

Malheureusement, tout le monde ne connaît pas cette manière de tuer le malware. Les victimes de LokiBot ont déjà déboursé presque 1,5 million de dollars. Et comme LokiBot est disponible sur le marché noir pour seulement 2 000 dollars, il est probable que les criminels responsables aient déjà bien récupérer leur investissement.

Comment vous protéger contre LokiBot

En effet, les mesures qui peuvent être prises pour se protéger contre LokiBot sont applicables pour tous les malwares mobiles. Voici la manière dont vous pouvez vous protéger :
– Ne cliquez jamais sur des liens suspicieux – c’est comme cela que LokiBot se répand.
– Téléchargez uniquement des applications par le biais de Google Play, mais faites attention même dans le magasin officiel.
– Installez une solution de sécurité fiable sur votre smartphone et votre tablette. Kaspersky Internet Security pour Android détecte toutes les variantes de LokiBot. Avec la version payante, il n’est pas nécessaire de scanner le smartphone après l’installation de chaque nouvelle application.

Conseils