Los investigadores de la firma de seguridad SfyLabs alertan de que ha sido detectado un troyano bancario para Android que se convierte en ransomware en caso de que la víctima intente quitarle los privilegios de administrador.
El virus se llama Android LokiBot y se trata de un troyano que tiene como objetivo robar los datos financieros de la víctima. Al igual que otros ejemplos de malware bancario para móviles,
esta pieza maliciosa suplanta a las aplicaciones de los bancos,
mostrando una pantalla falsa de inicio de sesión para robar los
credenciales. Además, está capacitado para suplantar a otras apps, como WhatsApp, Skype o Outlook.
Android LokiBot también tiene características propias que lo
distinguen de los demás. Tiene la capacidad de abrir el navegador y
cargar una URL para instalar un proxy con el que redirigir el tráfico
saliente, contestar a los SMS o enviar mensajes a todos los contactos de
la agenda. Además, también puede mostrar notificaciones falsas que simulan proceder de otras aplicaciones.
Por ejemplo, puede mostrar una alerta de que se ha recibido un ingreso
para que la víctima entre en la pantalla falsa y escriba sus claves.
Pero esto no es todo. La principal característica que diferencia a
LokiBot de otros troyanos bancarios es que, en caso de que el usuario
intente quitarle los privilegios de administrador, se comportará como un falso ransomware, bloqueando la pantalla del teléfono móvil aunque sin encriptar los ficheros.
Los usuarios pueden desbloquear el panel arrancando el terminal en modo
seguro y quitando los permisos de administrador de LokiBot y de la app
infectada.
De acuerdo con los investigadores, Android LokiBot se vende de manera clandestina a través de los foros de piratería. Su creador o creadores lo comercializa a un precio de 2.000 dólares.
Este modelo de distribución de virus paquetizados se está extendiendo
en los últimos meses y resulta muy peligroso, ya que cualquier persona
sin conocimientos puede lanzar un ataque si se lo propone.