محققان شرکت SfyLabs بدافزاری بانکی، تحت سیستم عامل Android را شناسایی کردهاند که زمانی که با سطح دسترسی Admin برای حذف آن تلاش میگردد، قابلیت باجافزاری آن فعال میشود.
این بدافزار با عنوان LokiBot مشابه سایر بدافزارهای بانکی با نمایش پنجرههای جعلی بر روی برنامکهای بانکی اقدام به سرقت اطلاعات اصالتسنجی کاربر در این برنامکها میکند. ضمن اینکه برنامکهای غیربانکی معروفی همچون Skype،و Outlook و WhatsApp را نیز هدف قرار میدهد.
به گزارش شرکت مهندسی شبکه گستر، از قابلیتهای خاص این بدافزار توانایی آن در نصب یک پراکسی SOCK5 برای تغییر مسیر ترافیک خروجی دستگاه است.
همچنین LokiBot قادر است پیامکهای دریافت شده بر روی دستگاه را بیاطلاع کاربر پاسخ داده و پیامکهای جدیدی را به تمامی شمارههای ثبت شده بر روی دستگاه ارسال کند.
جالبتر از همه اینکه این بدافزار با نمایش پیامهایی که در ظاهر از سوی برنامکهای بانکی نصب شده بر روی دستگاه ارسال شدهاند اینطور القاء میکند که به حساب کاربر پول واریز شده است. طبیعی است که کاربر کنجکاو نیز برای بررسی موضوع اقدام به ورود به برنامک مربوطه خواهد کرد و LokiBot نیز به از فرصت استفاده کرده و اطلاعات اصالتسنجی وارد شده توسط کاربر را رصد و به سرور فرماندهی تحت کنترل نویسنده یا نویسندگان این بدافزار ارسال میکند.
چنانچه کاربر به مخرب بودن LokiBot مشکوک شده و بخواهد تا آن را با سطح دسترسی Admin حذف کند بخش باجافزار آن فعال شده و دسترسی به دستگاه با نمایش دائمی تصویری مشابه شکل زیر مسدود میشود.
خبر خوب اینکه حداقل در نسخه فعلی قابلیت رمزنگاری بخش باجافزاری آن بدرستی برنامهنویسی نشده و فرآیند رمزگذاری فایلهای بر روی دستگاه با شکست مواجه میشود.
گفته میشود لیسانس کامل LokiBot با قیمت 2 هزار دلار در بازارهای زیرزمینی نفوذگران به فروش میرسد.
مشروح گزارش SfyLabs در اینجا قابل دریافت و مطالعه است.