LokiBot, die Transformer-Malware

Dieser Mobile-Banking-Trojaner mutiert zu Ransomware wenn Sie versuchen ihn zu entfernen

Erinnern Sie sich noch an Hydra, das vielköpfige schlangenähnliche Ungeheuer der griechischen Mythologie? Eine ähnliche Bestie ist nun auch im Android-Malware-Zoo aufgetaucht.

LokiBot als Banking-Trojaner

Gewöhnliche Banking-Trojaner zeigen dem Nutzer normalerweise einen gefälschten Screen an, der die Mobile-Banking-Benutzeroberfläche simuliert. Nichtsahnende Opfer geben dann wie gewohnt Ihre Anmeldedaten ein, die daraufhin an die Angreifer weitergeleitet werden und ihnen so Zugang zu den Konten verschaffen.

LokiBot hingegen simuliert nicht nur die Benutzeroberfläche der Banking-App, sondern auch die Client-Interfaces von WhatsApp, Skype und Outlook und zeigt Benachrichtigungen an, die angeblich von diesen Anwendungen stammen.

Das heißt, dass Sie zum Beispiel eine gefälschte Benachrichtigung von Ihrer Bank erhalten können, in der Ihnen mitgeteilt wird, dass eine Überweisung zu Ihren Gunsten getätigt wurde. Um die guten Nachrichten zu bestätigen, müssen Sie sich dann über die „Banking-App“ einloggen. LokiBot lässt das Smartphone bei einer neuen Benachrichtigung sogar vibrieren, was dem Ganzen noch mehr Glaubwürdigkeit verleiht.

Aber LokiBot hat noch weitere Tricks auf Lager: Der Trojaner kann Browser öffnen, auf speziellen Webseiten navigieren und ein infiziertes Gerät sogar dazu nutzen, Spam zu versenden. Und genau so verbreitet sich LokiBot auch. Nachdem erst einmal Geld von Ihrem Konto entwendet wurde, versendet LokiBot schädliche SMS an Ihre gesamte Kontaktliste, um so viele Smartphones und Tablets wie möglich zu infizieren. Im Notfall antwortet die Malware sogar auf eingehende Nachrichten.

Wenn Sie versuchen LokiBot zu entfernen, wird Ihnen eine weitere Facette der Malware offenbart: Um Geld von Ihrem Bankkonto zu entwenden braucht der Trojaner Administratorenrechte; wenn Sie deren Genehmigung verweigern möchten, mutiert LokiBot vom Trojaner zu Ransomware.

LokiBot als Ransomware. Wie Sie ein infiziertes Smartphone entschlüsseln

In diesem Fall blockiert LokiBot den Bildschirm Ihres Gerätes und fordert Lösegeld zur Entschlüsselung; zusätzlich werden Daten, die sich auf dem Gerät befinden, verschlüsselt. Bei der Untersuchung des Codes von LokiBot haben Sicherheitsforscher herausgefunden, dass die Malware eine schwache Verschlüsselung nutzt und nicht ordnungsgemäß funktioniert. Die Attacke hinterlässt unverschlüsselte Kopien aller Dateien auf dem Gerät, die lediglich unter einem anderen Namen hinterlegt werden. Die Wiederherstellung der Dateien ist also relativ simpel.

Der Bildschirm ist aber dennoch blockiert und die Entwickler fordern Bitcoin im Wert von rund 100 US-Dollar, um diesen wieder freizugeben. Das Lösegeld sollten Sie auf keinen Fall zahlen: nachdem Sie das Gerät im abgesicherten Modus neu gestartet haben, können Sie der Malware die Administratorenrechte entziehen und die Malware löschen. Dazu müssen Sie zunächst feststellen, welche Android-Version Sie besitzten:

  • Gehen Sie zu den Einstellungen Ihres Smartphones und suchen Sie nach den Geräteinformationen. Dort wird Ihnen die aktuell installierte AndroidVersion angezeigt.

Um den abgesicherten Modus eines Gerätes mit der Version 4.4 bis 7.1 zu aktivieren, tun Sie folgendes:

  • Halten Sie die Power-Taste gedrückt bis der Dialog Ausschalten erscheint.
  • Halten Sie die Schaltfläche Ausschalten gedrückt.
  • Warten Sie, bis das Telefon neu gestartet wird.

Sollten Sie eine andere Android-Version nutzen, suchen Sie online für weitere Informationen.

Leider wissen nur wenige über diese Methode, die Malware außer Kraft zu setzen, Bescheid: Insgesamt haben Opfer von LokiBot bereits 1,5 Millionen US-Dollar Lösegeld gezahlt.

Wie Sie sich vor LokiBot schützen können

So können Sie sich vor LokiBot und anderer Handymalware schützen:

– Öffnen Sie keine verdächtigen Links – auf diese Weise verbreitet sich LokiBot.

– Laden Sie Apps nur über den Google Play Store herunter – halten Sie trotzdem auch hier Ihre Augen offen.

– Installieren Sie eine zuverlässige Sicherheitslösung auf Ihrem Smartphone oder Tablet. Kaspersky Internet Security for Android entdeckt alle Varianten von LokiBot. Die kostenpflichtige Version der Sicherheitslösung scannt automatisch Apps und Dateien und blockiert verdächtige Webseiten mit gefährlichen Links.

Tipps