LokiBot雙重攻擊Android 銀行木馬、勒索軟件隨時變臉

在希臘神話中,九頭蛇如果被砍下一個頭會立即長出兩個頭,最近在 Android 的惡意程式之中便出現了這危險的怪物。這款名為 LokiBot 的惡意程式,會因應感染情況,化身成為銀行木馬或加密勒索程式,想盡辦法從用戶身上取得金錢。

LokiBot 銀行木馬程式
當 LokiBot 作為銀行木馬程式時,它會利用偽裝畫面假裝成為流動銀行界面,沒有懷疑的受害者如果輸入他們的登入資料,惡意程式便會把資料轉送至幕後攻擊者,然後便可以存取受害人的帳戶。然而, LokiBot 的厲害之處是除了偽裝流動銀行畫面,還會偽裝 Whatsapp、Skype 和 Outlook 客戶端的界面,並且顯示提示訊息。

這意味著受害人可能接收到虛假的提示,假扮銀行訛稱有一筆款項傳入帳戶,看到這種好消息 (或可疑訊息),受害人很大機會都會登入帳號進行確定,LokiBot 便能藉此盜取資料。為求達至真實效果,惡意程式在發放假通知時能夠令智能手機震動,令用戶更容易信以為真。

除此之外 LokiBot 還有其他「花招」,它能夠打開瀏覽器閱覽指定網頁,甚至使用被入侵的裝置進行濫發,藉此讓自己繼續向外傳播,它會不斷發送惡意程式 SMS 到通訊錄內所有聯絡人,冒求感染最多的智能電話或平板電腦,甚至回復接收到的訊息。

如果用戶企圖刪除 LokiBot,惡意程式便會展露另一面,由於盜取銀行帳戶的金錢需要管理員權限,當用戶拒絕授權時,LokiBot 便會由銀行木馬程式變成加密勒索軟件。

LokiBot 加密勒索軟件 (及解密受影響智能手機的方法)
如果不幸被 LokiBot 鎖上螢光幕,並指責用戶觀看兒童色情內容及要求贖金,裝置資料被加密的話,經過研究人要分析,LokiBot 不但使用弱的加密技術,而且不能正常運作,會把所有未加密的資料保留在裝置之內,只是改為其他名檔案名字,所以復完的工序相對簡單。

然而,螢光幕仍然被鎖上,幕後黑手要求美金100 元面值的比特幣作為贖金,不過用戶無需恐慌,只需要以安全模式重新啟動裝置,用戶便可以移除惡意程式的管理權限並把它刪除。用戶可以先 Android 確認裝置的版本:

. Setting > General > About > Android version

Version 4.4 至 7.1 可以依此步驟啟動安全模式:

. 緊按電源鍵直至出現 Power off or Disconnect power source 的選項。

. 緊按 Power off or Disconnect power source。

. 在 Turn on safe mode 選單中點OK。

. 等待電話重新啟動

其他版本的 Android 裝置用戶請自行查看啟動安全模式的方法。

防禦 LokiBot 的方法
由於並非所有人知道鏟除 LokiBot 的方法,所以至現時為止莫後黑手已經收到 150 萬美元的贖金,而 LokiBot 本身在黑市只以 2,000 美元出售,所以相信往後仍然會繼續出現。作為精明的用戶當然要懂得保護自己,謹記:

.不要點擊可疑連結

. 只從 Google Play 中下載應用程式 (仍然要保持戒心)

. 為智能手機或平板電腦安裝可靠的保安方案,例如 Kaspersky Internet Security for Android 就能偵測到不同版本的 LokiBot,付費版本更無需每次安裝新應用程式後都掃瞄裝置一次。

 

Comments are closed