Mã độc LokiBot - Không trộm được thì tống tiền?

Mã độc LokiBot: Không trộm được thì tống tiền?

Một mã độc nguy hiểm vừa được Kaspersky Lab phát hiện trên hệ điều hành Android có cơ chế hoạt động tựa như quái vật Hydra trong truyền thuyết với khả năng nhân bản khi bị tấn công.

LokiBot là một trojan ngân hàng trên điện thoại.

Một Trojan ngân hàng thông thường sẽ hoạt động như thế nào? Nó sẽ tạo ra icon ngân hàng giả trên màn hình và lấy cắp thông tin của người dùng khi nạn nhân truy cập vào tài khoản thông qua ứng dụng trên điện thoại.

Vậy còn LokiBot thì sao? LokiBot hoạt động với cách thức hoàn toàn giống Trojan ngân hàng: người dùng cũng sẽ nhận được thông báo giả yêu cầu xác nhận một giao dịch chuyển tiền mới nhưng tinh vi hơn, mã độc cũng kích hoạt hiệu ứng rung của điện thoại khi có thông báo từ ứng dụng, khiến người dùng không thể nhận ra thiết bị đã bị nhiễm mã độc. Bên cạnh giả hình ứng dụng ngân hàng, LokiBot còn có khả năng mô phỏng cả những ứng dụng khác là WhatsApp, Skype và Outlook.

LokiBot lây lan đến các thiết bị khác như thế nào?

LokiBot sẽ dùng chính thiết bị của nạn nhân để gửi tin nhắn có chứa mã độc đến tất cả các số liên lạc có trong danh bạ, ngoài ra nó còn phát tán thư rác đến các trang mạng thông qua trình duyệt web, chủ yếu nhằm lây lan mã độc đến điện thoại thông mình và máy tính bảng nhiều nhất có thể.

Khi bị tấn công, Trojan ngân hàng LokiBot sẽ chuyển thành mã độc tống tiền.

Trong trường hợp người dùng phát hiện thiết bị đã bị nhiễm độc và cố gắng gỡ bỏ, LokiBot sẽ tự động chuyển từ trojan ngân hàng sang mã độc tống tiền ransomware. Khi đó, màn hình điện thoại sẽ bị khoá và hiện lên dòng tin nhắn buộc tội nạn nhân đã thực hiện hành vi phạm pháp và yêu cầu tiền chuộc. Mã độc cũngmã hoá các dữ liệu trên điện thoại, tuy nhiên các mã này tương đối sơ sài và việc phục hồi dữ liệu cũng khá dễ dàng khi mã độc không xoá hết các dữ liệu gốc chưa bị mã hoá mà chỉ copy và lưu lại dưới một tên khác.

Làm cách nào để mở khoá màn hình điện thoại khi LokiBot chuyển thành mã độc tống tiền.

Tuy việc khôi phục dữ liệu điện thoại khá đơn giản, nhưng màn hình điện thoại vẫn bị khoá và nạn nhân phải trả 100 đô la Bitcoin để mở khoá thiết bị. Sau đây là một số gợi ý giúp mở khoá màn hình cho điện thoại bị nhiễm LokiBot.

Đầu tiên, nạn nhân cần nhận dạng được phiên bản hệ điều hành của máy bằng cách:

• Chọn Cài đặt (Settings) > Thông tin thiết bị (About the device) > Tìm thông tin về Phiên bản Android (Andriod version) – Con số nằm phía dưới chính là phiên bản của hệ điều hành.

Tiếp theo, ta cần chuyển máy sang chế độ an toàn (safe mode). Sau đây là cách bật chế độ an toàn “safe mode” cho Android 4.4 đến 7.1.

• Nhấn giữ nút nguồn đến khi hiện lên dòng chữ “Tắt nguồn” (“Power off” hoặc “Disconnect power source”)
• Nhấn giữ “Tắt nguồn” trên màn hình cho đến khi xuất hiện lệnh “Bật chế độ an toàn” (Turn on safe mode menu)
• Bấm OK và đợi máy kích hoạt sang chế độ an toàn.

Tính đến thời điểm này LokiBot đã thu được 1.5 triệu đô la Mỹ từ các nạn nhân và được bán trên chợ đen với giá 2000 đô la Mỹ. 

Làm thế nào để bảo vệ thiết bị khỏi LokiBot?

• Không truy cập vào những trang web lạ, khả nghi.
• Chỉ tải ứng dụng từ Google Play – Nhưng vẫn phải luôn cảnh giác vì đã từng có những phần mềm giả mạo trà trộn vào đây.
• Cài đặt một phần mềm chống virus uy tín bảo vệ thiết bị của bạn. Phần mềm chống virus Kaspersky (Kaspersky Internet Security for Android) có khả năng bảo vệ thiết bị Android khỏi tất cả các biến thể của LokiBot. Với phiên bản Kaspersky có phí, người dùng không cần chạy lại phần mềm chống virus sau mỗi lần tải ứng dụng mới về máy.