ransomware
Lembra da Hidra da mitologia grega? A serpente de muitas cabeças na qual duas cabeças cresciam no lugar de uma cortada? Uma fera similar apareceu no zoológico dos malwares do Android.
LokiBot: o Banking Trojan
Como Trojans bancários se comportam? Apresentam ao usuário uma tela falsa que simula a interface do aplicativo bancário. Desavisada, a vítima fornece suas credenciais de login, as quais o malware encaminha para o cibercriminoso.
Como o LokiBot se comporta? Praticamente da mesma forma, porém simula não apenas aplicativos bancários, mas também o WhatsApp, Skype e Outlook, ao ponto de exibir notificações imitando esses programas.
Isso significa que a pessoa pode receber uma notificação falsa, supostamente de seu banco, dizendo que fundos foram transferidos a sua conta. Ao receber a boa notícia, entra no aplicativo bancário para confirmar. O LokiBit até faz o smartphone vibrar ao exibir a notificação sobre a suposta transação, o que ajuda a enganar até os mais espertos.
Mas o LokiBit tem outro truque na manga: pode abrir o navegador até páginas específicas, usar o dispositivo infectado para enviar spam (é assim que ele é distribuído). Depois de conseguir dinheiro da conta, o Trojan não para – envia SMS maliciosos para todos os contatos da agenda e infecta tantos smartphone e tablets quanto possível, e pode responder mensagens se necessário.
Caso se tente removê-lo, o malware revela mais uma faceta: para roubar fundos da conta bancária, são necessários direitos de administrador; neste ponto, se o usuário nega as permissões demandadas, o banking Trojan se torna ransomware.
LokiBot: o ransomware
Neste caso, o LokiBot bloqueia a tela e exibe uma mensagem acusando a vítima de ter acessado pornografia infantil e demanda um resgate; além de criptografar o dispositivo. Ao examinar seu código, pesquisadores descobriram que utiliza criptografia fraca e não funciona como deveria; o ataque deixa cópias desbloqueadas de todos os arquivos no dispositivo, apenas muda os nomes.
Contudo, a tela continua bloqueada e os criadores do malware pedem por volta de US$ 100 em Bitcoins para desbloquear. Você não tem de aceitar: depois de reiniciar o dispositivo em modo de segurança, pode retirar os direitos de administrador do malware e deletá-lo. Para isso, você precisa determinar qual versão do Android está no seu dispositivo:
- Vá em Configurar
- Selecione a aba Geral
- Selecione Sobre o dispositivo
- Encontre a linha Versão do Android – o número abaixo indica a versão do Android
Para habilitar o modo de segurança na Versão 4.4 a 7.1 faça o seguinte:
- Pressione e segure o botão de ligar até que apareça o menu com a opção Desligar ou Desconectar fonte de energia.
- Segure e pressione a opção Desligar ou Desconectar fonte de energia.
- Em Ligar em modo de segurança no menu que aparece, clique em
- Espere o celular reiniciar.
Donos de dispositivos com outras versões do Android devem procurar por informações online sobre como habilitar o modo de segurança.
Infelizmente, nem todo mundo conhece esse método de matar o ransomware: as vítimas do LokiBot já perderam quase US$ 1,5 milhão. Com o malware disponível no mercado clandestino por apenas US$ 2000, é provável que os criminosos por trás do investimento já o receberam de volta.
Como se proteger
No fim, as medidas de proteção contra o LokiBot são aplicáveis a qualquer dispositivo mobile:
– Nunca clique em links suspeitos – é assim que o LokiBot se espalha.
– Baixe aplicativos apenas da Google Play – mas tenha cuidado mesmo assim.
– Instale uma solução de segurança segura em seu smartphone e tablet. O Kaspersky para Android detecta todas as variantes do LokiBot. Com a versão paga, não é preciso verificar o smartphone toda vez que adquirir um aplicativo novo.
Dicas