Lokibot, un troyano que desarrolla funciones de ransomware al ser eliminado de Android
Si pensabas que ya habías visto todo lo relacionado con los virus informáticos en dispositivos móviles, no es así. Expertos en seguridad han detectado un nuevo malware conocido como Lokibot que afecta a dispositivos con el sistema operativo móvil de los de Mountain View que se comporta como un ransomware si se procede a su eliminación.
O lo que es lo mismo, si el usuario intenta eliminar los privilegios de administración existentes asignados a este software, este realizará el bloqueo del dispositivo, modificando la configuración del bloqueo de la pantalla y dejando el contenido almacenado en el dispositivo inaccesible.
Se trata de una amenaza que funciona más como un troyano bancario que como un ransomware. Es decir, esta última función o conjunto de funciones solo se despliegan en el caso de alcanzar la situación descrita anteriormente. Podría decirse que es una forma de proteger su persistencia en el dispositivo, y evitar su eliminación y pérdida de permisos.
Tal y como indican los expertos en seguridad encargados de dar la voz de alarma, el funcionamiento es similar al de otros troyanos bancarios. Es decir, mostrar al usuario formularios que imitan los legítimos de servicios de banca en línea. De esta forma, el usuario introducirá la información en un formulario propiedad de los ciberdelincuentes, realizando la recopilación de la información a posteriori. Pero se han percatado que el interés no solo radica en aplicaciones de banca, también en servicios de mensajería o incluso correo electrónico. En este último caso, los ciberdelincuentes centran sus esfuerzos en Gmail y Outlook.
Lokibot, un troyano disponible por 2.000 dólares
Aquellos que quieran sacar provecho de la amenaza lo tienen más o menos fácil. El motivo es que el malware se encuentra a la venta por un precio de 2.000 dólares. Obviamente, se puede conseguir a través del mercado negro.
Los expertos en seguridad que lo han analizado, indican que existen muchas similitudes con respecto a Svpeng, CryEye, DoubleLocker o ExoBot. Es decir, los desarrolladores de esta amenaza se han basado en familias de malware para el sistema operativo Android que más o menos son actuales. También es cierto que existen algunas funciones que son únicas de esta amenaza.
La actividad la basa en modificar la configuración del navegador web
O lo que es lo mismo, configura un servidor proxy por el que hace pasar todo el tráfico generado a través del navegador web. Una vez configurado, las páginas web que se muestran son copias propiedad de los ciberdelincuentes. La finalidad no es otra que realizar el robo de las credenciales de acceso a los diferentes servicios que ya hemos mencionado anteriormente.
También existe la posibilidad de que se produzca el envío no autorizado de mensajes de texto.
Un ransomware a medias
Ya hemos visto con anterioridad que en el caso de proceder a la eliminación de la amenaza se produce una reacción como respuesta: cifrado de los archivos y bloqueo del dispositivo. Sin embargo, esto no es del todo cierto. La amenaza falla a la hora de cifrar los archivos por una mala implementación del método de cifrado. Sin embargo, sí se produce el bloqueo del dispositivo.
El usuario necesitará recurrir al modo seguro del sistema operativo Android 4.0 o superior (son las versiones en las que funciona esta amenaza) para proceder a la eliminación de la amenaza y desbloquear el terminal.
Via: www.redeszone.net