LokiBot: robo o extorsión

Este Troyano bancario móvil versátil se convierte en ransomware al detectar un intento de ser eliminado.

¿Te acuerdas de Hydra de la mitología antigua? La cabeza con muchas serpientes a la que le crecía otra cabeza cuando se la cortaban. Algo parecido a una bestia peligrosa ha aparecido en el zoológico de malware para Android.

LokiBot como Troyano bancario

¿Cómo se comportan los Troyanos bancarios ordinarios? Estos le muestran al usuario una pantalla falsa simulando a la interfaz bancaria del móvil. Las víctimas que no sospechan nada introducen sus credenciales de acceso, las cuales son redirigidas por el malware a los atacantes, otorgándoles acceso a las cuentas.

¿Cómo se comporta LokiBot? Casi igual, pero no solo simula la pantalla de la app bancaria, también simula a la interfaz de WhatsApp, Skype y Outlook, mostrando notificaciones que pretenden ser propias de las aplicaciones.

Esto significa que una persona puede recibir una notificación falsa, supuestamente de su banco, diciendo que acaba de recibir una transferencia, y al ver las buenas noticias, ingresa a su aplicación bancaria para confirmarlo. LokiBot, incluso hace que el smartphone vibre al notificar al usuario sobre la supuesta transferencia, lo que ayuda a engañar fácilmente a los usuarios.

Pero LokiBot tiene más trucos: puede abrir el navegador, abrir páginas específicas e incluso utilizar un dispositivo infectado para enviar spam, que es básicamente como se distribuye. Una vez que LokiBot roba dinero de tu cuenta, este continúa enviando mensajes de texto a todos tus contactos para infectar todos los smartphones y tablets posibles, y de ser necesario, hasta contesta los mensajes entrantes.

Al intentar eliminar LokiBot, este revela otra faceta: para robar fondos de una cuenta bancaria, este necesita derechos de administrador; si le intentas negar el permiso, este pasa de ser un Troyano bancario a ser un ransomware.

LokiBot como ransomware. ¿Cómo desbloquear un smartphone infectado?

En este caso, LokiBot bloquea la pantalla y muestra un mensaje acusando a la víctima de haber visto pornografía infantil y le pide un rescate; este también cifra los datos del dispositivo. Al examinar el código de LokiBot, los investigadores descubrieron que utiliza un cifrado débil y que no funciona correctamente; el atacante deja copias descifradas de todos los archivos en el dispositivo, pero con diferentes nombres, por lo que restaurar los archivos es algo relativamente fácil.

Sin embargo, la pantalla del dispositivo continúa bloqueada y los creadores del malware piden unos $100 en Bitcoin para desbloquearlo. Pero no tienes que pagarlo: después de reiniciar el dispositivo en modo seguro, puedes quitarle los derechos de administrador al malware y eliminarlo. Para hacerlo primero necesitas determinar qué versión de Android tienes:

  • Selecciona Configuración
  • Selecciona la pestaña de General
  • Selecciona Acerca del dispositivo
  • Encuentra la línea Versión Android – los números de abajo te indicarán tu versión de sistema operativo

Para activar el modo seguro en dispositivos con versiones desde la 4.4 a la 7.1, sigue los siguientes pasos:

  • Deja presionado el botón de encendido hasta que aparezca el menú con la opción de Apagar o Desconectar fuente de energía.
  • Selecciona el modo de emergencia, haz click en OK.
  • Espera a que el teléfono se reinicie.

Los propietarios de dispositivos con otras versiones de Android deberán buscar online más información sobre cómo activar el modo seguro en sus teléfonos.

Desafortunadamente, no todos saben sobre este método para acabar con el malware: las víctimas de LokiBot ya han conseguido casi $1.5 millones de dólares. Y con la disponibilidad de LokiBot en el mercado negro por solo $2,000 dólares, es muy probable que los criminales ya hayan recuperado su inversión varias veces.

Cómo protegerte contra LokiBot

De hecho, las medidas que se pueden tomar para protegerte contra LokiBot son aplicables para cualquier malware móvil. Así es como te puedes proteger:

– Nunca hagas click en enlaces sospechosos, así es como LokiBot se expande.

– Descarga aplicaciones solo a través de Google Play, pero también toma tus precauciones, incluso en la tienda oficial.

– Instala una solución de seguridad fiable en tu smartphone y tablet. Kaspersky Internet Security for Android detecta todas las variantes de LokiBot. Con la versión de pago no hay necesidad de escanear el smartphone cada vez que instales una aplicación nueva.

Consejos