{"id":15174,"date":"2017-11-03T12:42:39","date_gmt":"2017-11-03T10:42:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15174"},"modified":"2017-11-03T13:12:13","modified_gmt":"2017-11-03T11:12:13","slug":"lokibot-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/lokibot-trojan\/15174\/","title":{"rendered":"LokiBot, die Transformer-Malware"},"content":{"rendered":"

Erinnern Sie sich noch an Hydra, das vielk\u00f6pfige schlangen\u00e4hnliche Ungeheuer der griechischen Mythologie? Eine \u00e4hnliche Bestie ist nun auch im Android-Malware-Zoo aufgetaucht<\/a>.
\n\"\"<\/a><\/p>\n

LokiBot als Banking-Trojaner<\/strong><\/h3>\n

Gew\u00f6hnliche Banking-Trojaner zeigen dem Nutzer normalerweise einen gef\u00e4lschten Screen an, der die Mobile-Banking-Benutzeroberfl\u00e4che simuliert. Nichtsahnende Opfer geben dann wie gewohnt Ihre Anmeldedaten ein, die daraufhin an die Angreifer weitergeleitet werden und ihnen so Zugang zu den Konten verschaffen.<\/p>\n

LokiBot hingegen simuliert nicht nur die Benutzeroberfl\u00e4che der Banking-App, sondern auch die Client-Interfaces von WhatsApp, Skype und Outlook und zeigt Benachrichtigungen an, die angeblich von diesen Anwendungen stammen.<\/p>\n

Das hei\u00dft, dass Sie zum Beispiel eine gef\u00e4lschte Benachrichtigung von Ihrer Bank erhalten k\u00f6nnen, in der Ihnen mitgeteilt wird, dass eine \u00dcberweisung zu Ihren Gunsten get\u00e4tigt wurde. Um die guten Nachrichten zu best\u00e4tigen, m\u00fcssen Sie sich dann \u00fcber die \u201eBanking-App\u201c einloggen. LokiBot l\u00e4sst das Smartphone bei einer neuen Benachrichtigung sogar vibrieren, was dem Ganzen noch mehr Glaubw\u00fcrdigkeit verleiht.<\/p>\n

Aber LokiBot hat noch weitere Tricks auf Lager: Der Trojaner kann Browser \u00f6ffnen, auf speziellen Webseiten navigieren und ein infiziertes Ger\u00e4t sogar dazu nutzen, Spam zu versenden. Und genau so verbreitet sich LokiBot auch. Nachdem erst einmal Geld von Ihrem Konto entwendet wurde, versendet LokiBot sch\u00e4dliche SMS an Ihre gesamte Kontaktliste, um so viele Smartphones und Tablets wie m\u00f6glich zu infizieren. Im Notfall antwortet die Malware sogar auf eingehende Nachrichten.<\/p>\n

Wenn Sie versuchen LokiBot zu entfernen, wird Ihnen eine weitere Facette der Malware offenbart: Um Geld von Ihrem Bankkonto zu entwenden braucht der Trojaner Administratorenrechte; wenn Sie deren Genehmigung verweigern m\u00f6chten, mutiert LokiBot vom Trojaner zu Ransomware.<\/p>\n

LokiBot als Ransomware. Wie Sie ein infiziertes Smartphone entschl\u00fcsseln<\/strong><\/h3>\n

In diesem Fall blockiert LokiBot den Bildschirm Ihres Ger\u00e4tes und fordert L\u00f6segeld zur Entschl\u00fcsselung; zus\u00e4tzlich werden Daten, die sich auf dem Ger\u00e4t befinden, verschl\u00fcsselt. Bei der Untersuchung des Codes von LokiBot haben Sicherheitsforscher herausgefunden, dass die Malware eine schwache Verschl\u00fcsselung nutzt und nicht ordnungsgem\u00e4\u00df funktioniert. Die Attacke hinterl\u00e4sst unverschl\u00fcsselte Kopien aller Dateien auf dem Ger\u00e4t, die lediglich unter einem anderen Namen hinterlegt werden. Die Wiederherstellung der Dateien ist also relativ simpel.<\/p>\n

Der Bildschirm ist aber dennoch blockiert und die Entwickler fordern Bitcoin im Wert von rund 100 US-Dollar, um diesen wieder freizugeben. Das L\u00f6segeld sollten Sie auf keinen Fall zahlen: nachdem Sie das Ger\u00e4t im abgesicherten Modus neu gestartet haben, k\u00f6nnen Sie der Malware die Administratorenrechte entziehen und die Malware l\u00f6schen. Dazu m\u00fcssen Sie zun\u00e4chst feststellen, welche Android-Version Sie besitzten:<\/p>\n