Menü
Security

Android-Schädling Lokibot ist eine Transformer-Malware

In erster Linie ist Lokibot auf Bankdaten aus. Wer gegen den Trojaner vorgeht, bekommt ein anderes Gesicht des Schädlings zu sehen und sieht sich mit Erpressung konfrontiert.

Von
vorlesen Drucken Kommentare lesen 47 Beiträge
Android

(Bild: dpa, Britta Pedersen/Archiv)

Der Android-Trojaner Lokibot macht Opfern das Leben doppelt schwer: Primär will der Schädling Bankdaten abziehen, kann aber auch Daten verschlüsseln und Lösegeld fordern. Sicherheitsforscher von Sfylabs haben den Hybrid-Trojaner analysiert.

Die Malware-Entwickler verkaufen Lokibot als All-in-One-Paket für rund 2000 US-Dollar in diversen Online-Schwarzmärkten. Neben dem Trojaner inklusive Updates in der Zukunft ist auch eine Bedienoberfläche für Kampagnen dabei, führt Sfylabs aus.

Lokibot soll Geräte ab Android 4.0 (Ice Cream Sandwich) bedrohen. Wie der Trojaner auf Smartphones kommt, führen die Sicherheitsforscher derzeit nicht aus. Unbekannt ist auch, in welchem Maß sich Lokibot gegenwärtig verbreitet.

Die Drahtzieher sind aber offenbar erfolgreich: Sfylabs hat im Wallet der Kriminellen Bitcoins im Wert von rund 1,2 Millionen US-Dollar gesichtet. Dieser Betrag kann aber auch aus anderen Malware-Kampagnen stammen, ergänzen die Sicherheitsforscher.

Der Trojaner versucht Bankdaten via Overlay-Attacken zu erschnüffeln. Dafür erzeugt er den Sicherheitsforschern zufolge Eingabefelder, die wie die von legitimen Banking-Apps aussehen. Derzeit soll Lokibot über 100 Apps im Visier haben; darunter Deutsche Bank, Postbank und Sparkasse.

Darüber hinaus soll der Schädling Kontaktdaten stehlen, SMS verschicken und Benachrichtigungen von anderen Apps für Phishing-Angriffe fälschen können.

Wer versucht, Lokibot die Rechte zu entziehen oder den Trojaner zu deinstallieren, aktiviert die Erpresser-Routine. Alternativ sollen die Drahtzieher diese Komponente via Fernbefehl auslösen können. Anschließend verschlüsselt der Schädling Daten auf der SD-Karte in Android-Smartphones, fordert für den Schlüssel zwischen 70 und 100 US-Dollar ein und sperrt den Zugriff auf das Gerät. Derzeit soll die Verschlüsselung aber noch fehlerhaft sein und Dateien sind lediglich umbenannt. (des)