Cos’è e come combattere il trojan bancario LokiBot

dispositivi android
Il trojan bancario LokiBot per smartphone e tablet Android può trasformarsi anche in ransomware e bloccare il dispositivo colpito.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

LokiBot è un trojan bancario diffuso su smartphone e tablet Android che si presenta all’utente con una falsa schermata che simula l’interfaccia mobile del sito della banca. Le vittime ignare digitano le proprie credenziali d’accesso che il malware passa ai cybercriminali, i quali possono così entrare nel conto bancario del malcapitato. LokiBot inoltre imita non solo le schermate delle app bancarie ma anche di app di uso ancora più comune come WhatsApp, Skype e Outlook, inviando notifiche che sembrano proprio provenire da queste applicazioni.

Un esempio pratico? A un utente arriva una falsa notifica che dovrebbe provenire dalla banca, in cui riceve la buona notizia di un bonifico a suo favore. Dopo aver letto la notifica, l’utente entra sul sito con le proprie credenziali di accesso per verificare. LokiBot fa persino vibrare il telefono quando mostra la falsa notifica del presunto bonifico, dettaglio che tranquillizzerebbe anche gli utenti più attenti.

A questo punto il trojan può aprire il browser, navigare su alcune pagine in concreto e utilizzare il dispositivo infetto per inviare spam, metodo attraverso il quale si diffonde. Dopo aver prelevato denaro dal conto dell’utente, LokiBot continua la sua opera, inviando un SMS dannoso a tutti i contatti della rubrica per infettare più smartphone e tablet possibili, rispondendo perfino ai messaggi se necessario.

Se si cerca di eliminarlo, LokiBot assume un altro aspetto. Per rubare denaro dal conto bancario, ha bisogno degli accessi da amministratore; se l’utente non consente tali accessi, il trojan si trasforma in ransomware. A questo punto, LokiBot blocca lo schermo e mostra un messaggio dove accusa la vittima di aver visto materiale pedopornografico e richiede un riscatto, soprattutto perché i dati del dispositivo vengono cifrati.

lokibot

Analizzando il codice di LokiBot, i ricercatori hanno scoperto però che il ransomware utilizza in realtà un sistema di cifratura debole; il ransomware, infatti, lascia sul dispositivo una copia non cifrata dei file, che hanno solamente nomi diversi. Ripristinare i file è quindi relativamente semplice.

In ogni caso, lo schermo del dispositivo continua a essere bloccato e i cybercriminali chiedono un riscatto di circa 100 dollari in bitcoin per sbloccarlo. Ma non sarà necessario, visto che dopo aver riavviato il dispositivo in modalità provvisoria, si può fare in modo che il malware non abbia più gli accessi da amministratore e si può così eliminarlo.

Ecco come fare per abilitare la modalità provvisoria per i dispositivi con versione Android dalla 4.4 alla 7.1. Tenete premuto il pulsante di accensione fino a quando compare l’opzione Spegni e le altre opzioni del menu; selezionate l’opzione Attiva modalità provvisoria e riavviate il telefono.

Purtroppo non tutti conoscono questo metodo per mettere fuori uso il malware ed è per questo che LokiBot è riuscito già a estorcere quasi un milione e mezzo di dollari alle vittime. Inoltre, LokiBot è disponibile sul mercato nero pagando solo 2000 dollari.

I consigli per proteggersi da LokiBot valgono per qualsiasi malware mobile. Evitate quindi di cliccare su link sospetti (è così che si propaga LokiBot), scaricate le app solo attraverso Google Play e installate una soluzione di sicurezza affidabile su smartphone e tablet.

AndroidKaspersky LablokibotRansomwaretrojan bancario
// Data pubblicazione: 06.11.2017
Condividi:
 

Transazioni in bitcoin a rischio a causa di CryptoShuffler

bitcoin
Il trojan CryptoShuffler è stato ideato appositamente per i furti di crypto valuta e ha già colpito risparmi in bitcoin per 140.000 dollari.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

L’attività di mining, cioè l’emissione di cryptovaluta, sta prendendo piede in tutto il mondo informatico e alcune persone stanno sfruttando questo trend per generare denaro digitale per loro uso. Per diventare proprietari di una mining farm online, serve un investimento iniziale e bisogna mettere in conto altro denaro per la manutenzione e la corrente elettrica, ma superati questi ostacoli si diventa in grado di generare quotidianamente denaro digitale che può essere speso, convertito in veri contanti o trasferito a un altro portafoglio online.

Cosa succede però se una volta che le transazioni vengono confermate il denaro non va dove si desiderava? Dato che il mercato della cryptovaluta è deregolarizzato e decentralizzato, non c’è nessuna possibilità di recuperare il proprio denaro. Ciò in realtà succede spesso ad esempio perché i PC utilizzati vengono infettati dai malware crypto stealer, che come rilevato da Kaspersky Lab sono in crescita.

I crypto stealer sono stati individuati per la prima volta diversi anni fa. Ora però, a causa del recente boom della cryptovaluta in tutto il mondo, sono tornati a mettere a repentaglio i risparmi degli utenti. Indagando su questi fatti, i ricercatori di Kaspersky Lab hanno scoperto il trojan CryptoShuffler. Questo malware, individuato come Trojan-Banker.Win32.CryptoShuffler.gen, è stato ideato appositamente per i furti di crypto valuta e agisce attaccando gli utenti nel momento in cui copiano e incollano i numeri del portafoglio elettronico del destinatario durante le operazioni di pagamento.

CryptoShuffler

Nella maggior parte delle cryptovalute, se un utente vuole trasferire del cryptodenaro a un altro utente, deve conoscere l’ID del wallet del destinatario (un numero unico a più cifre). Il meccanismo con cui agisce CryptoShuffler è molto semplice ed efficace. Una volta avviato, il trojan inizia a monitorare i clipboard dei dispositivi infettati.

Gli utenti utilizzano questa funzione del software durante l’atto di pagamento; copiano i numeri del wallet e li incollano nello spazio riservato all’indirizzo del destinatario all’interno del software che stanno utilizzando per compiere la loro transazione. Ma il trojan sostituisce l’indirizzo del portafoglio dell’utente con uno di proprietà del creatore del malware e quindi, quando l’utente incolla l’ID del wallet nello spazio dedicato all’indirizzo, non sta copiando l’indirizzo al quale originariamente intendeva inviare denaro.

Agendo in questo modo, i criminali sfruttano la mancanza di attenzione degli utenti, che solitamente non controllano i loro numeri a più cifre. Inoltre, gli indirizzi dei wallet nella blockchain sono complicati e difficili da memorizzare. Gli utenti quindi non prestano molta attenzione a controllare bene i dettagli della transazione, anche se si trovano di fronte ai loro occhi e anche solo un piccolo cambiamento possa costare molto.

Esiste un modo per tenere al sicuro i risparmi in cryptovaluta e non riempire le tasche dei criminali? Il metodo più semplice e gratuito è quello di prestare molta attenzione durante le transazioni e controllare sempre che il numero del wallet elencato nello spazio di inserimento dell’indirizzo di destinazione sia quello corretto al quale inviare denaro. Bisogna infatti essere consapevoli dell’esistenza di una differenza tra un indirizzo non valido e uno scorretto. Nel primo caso l’errore viene individuato e la transazione non andrà a buon fine. Nel secondo, invece, il denaro sparirà.

bitcoincryptoshufflercryptovalutaKaspersky LabMalwaretrojan
// Data pubblicazione: 06.11.2017
Condividi: