El virus se llama Android LokiBot y se trata de un troyano que tiene como objetivo robar los datos financieros de la víctima. Al igual que otros ejemplos de malware bancario para móviles, esta pieza maliciosa suplanta a las aplicaciones de los bancos, mostrando una pantalla falsa de inicio de sesión para robar los credenciales. Además, está capacitado para suplantar a otras apps, como WhatsApp, Skype o Outlook.
Android LokiBot también tiene características propias que lo distinguen de los demás. Tiene la capacidad de abrir el navegador y cargar una URL para instalar un proxy con el que redirigir el tráfico saliente, contestar a los SMS o enviar mensajes a todos los contactos de la agenda. Además, también puede mostrar notificaciones falsas que simulan proceder de otras aplicaciones. Por ejemplo, puede mostrar una alerta de que se ha recibido un ingreso para que la víctima entre en la pantalla falsa y escriba sus claves.
Pero esto no es todo. La principal característica que diferencia a LokiBot de otros troyanos bancarios es que, en caso de que el usuario intente quitarle los privilegios de administrador, se comportará como un falso ransomware, bloqueando la pantalla del teléfono móvil aunque sin encriptar los ficheros. Los usuarios pueden desbloquear el panel arrancando el terminal en modo seguro y quitando los permisos de administrador de LokiBot y de la app infectada.
De acuerdo con los investigadores, Android LokiBot se vende de manera clandestina a través de los foros de piratería. Su creador o creadores lo comercializa a un precio de 2.000 dólares. Este modelo de distribución de virus paquetizados se está extendiendo en los últimos meses y resulta muy peligroso, ya que cualquier persona sin conocimientos puede lanzar un ataque si se lo propone.
