O que é malware LokiBot e como você pode se proteger?

Agências de segurança cibernética alertam sobre um aumento alarmante de ataques de malware LokiBot.

O malware, que visa principalmente dispositivos Windows e Android, tem se espalhado rapidamente nos últimos meses. Aqui está o que você precisa saber sobre essa ameaça, o que você pode fazer para se proteger e como lidar com uma infecção por LokiBot.

O que é LokiBot?

Também conhecido como Lokibot, Loki PWS e Loki-bot, esse malware Trojan tem como alvo o Windows e o sistema operacional Android. Ele é projetado para se infiltrar em sistemas e roubar informações confidenciais, como nomes de usuário e senhas, carteira de criptomoeda e outras credenciais.

Relatado pela primeira vez em 2015, ele se tornou um dos ladrões de informações mais comuns, junto com o sinistro malware Emotet. Por causa de sua interface e base de código simples, ele é usado por uma ampla gama de criminosos cibernéticos, incluindo operadores de qualificação média que são novos no crime cibernético.

O LokiBot evoluiu desde seu surgimento em meados da década de 2010. Uma variante até usou técnicas de esteganografia para aumentar a ofuscação. Isso permitiu que a linhagem LokiBot ocultasse seus arquivos maliciosos ou ocultasse seus códigos-fonte em arquivos de imagem, evitando assim a detecção e cobrindo seus rastros.

Alguns dos descendentes nefastos de Lokibot incluem MysteryBot, Parasite, Xerxes e a versão mais recente chamada BlackRock.

O que é BlackRock?

Identificado pela primeira vez em maio de 2020, o BlackRock é uma cepa de malware que se baseia no código-fonte vazado anteriormente para o Xerxes. É um descendente de Lokibot e tem causado estragos durante os bloqueios de 2020, atacando não apenas aplicativos bancários, mas muitos outros aplicativos Android.

A BlackRock coleta credenciais em aplicativos bancários e carteiras de criptomoedas. Mas também tem como alvo nomes de usuário, senhas e detalhes de cartão de crédito que você digita no Gmail, Amazon, Netflix, Uber, Playstation, TikTok e mais de 300 outros aplicativos Android. Ele usa sobreposições ou um pop-up falso do Widows que coleta as credenciais do usuário.

Relacionado: O que é BlackRock e como você pode evitá-lo?

O que o malware Lokibot pode fazer?

Além de usar técnicas de sobreposição, o LokiBot possui um recurso de keylogger. Isso foi projetado para obter informações importantes furtivamente, gravando cada tecla pressionada no teclado.

Depois que o LokiBot se conecta ao seu dispositivo, ele cria um backdoor que permite que um hacker instale cargas adicionais ou outro software malicioso. Ele até mesmo envia notificações falsas, como as que afirmam que você recebeu dinheiro ou que fundos foram depositados em sua conta. Depois de tocar na notificação, ela aciona uma sobreposição com um formulário de login falso.

No seu telefone, o malware pode responder automaticamente ao seu SMS e enviar mensagens SMS aos seus contatos para infectar outros usuários. Normalmente opera sem ser detectado.

E quando você o descobrir e tentar remover seus privilégios administrativos, ele se recusará a cair sem lutar. Isso bloqueará seu dispositivo e se transformará em ransomware!

Como posso ser infectado com o LokiBot?

O LokiBot normalmente se espalha através de spam malicioso com um anexo infectado. As campanhas anteriores usavam anexos que fingiam ser uma fatura, cotação ou confirmação do pedido. Outra campanha do LokiBot usou a pandemia do Coronavirus para atrair as vítimas para abrir o arquivo.

Uma campanha mais traiçoeira usou um downloader falso disfarçado de lançador para a Epic Games, a desenvolvedora do popular jogo multiplayer Fortnite. Ele usa o logotipo da Epic Games para fazer com que pareça legítimo. Depois de baixar e executar o iniciador falso, você será infectado com o malware.

Como faço para me proteger do LokiBot?

Tenha cuidado com os anexos de arquivo, mesmo aqueles aparentemente enviados por pessoas que você conhece – o computador do seu amigo pode ter sido infectado com malware que envia e-mails ou SMS falsos. Ligue para eles para confirmar se o anexo é seguro.

Certifique-se de que seu pacote de segurança esteja atualizado com as definições de vírus mais recentes. Instale os patches do sistema operacional e do software assim que estiverem disponíveis, pois eles corrigirão as vulnerabilidades que os hackers podem explorar.

E uma vez que o LokiBot pode se passar por jogos e aplicativos populares, você deve ter cuidado com serviços de terceiros. Baixe aplicativos e jogos de fontes legítimas. A Google Store ainda é o lugar mais seguro para obter aplicativos Android, mas é importante notar que alguns aplicativos desonestos ainda podem passar despercebidos e escapar da triagem. Leia as avaliações antes de fazer o download.

O que fazer se você for infectado com LokiBot

Se você suspeitar que este malware desagradável está escondido em seu dispositivo, você pode removê-lo com segurança após reiniciar em modo de segurança.

Como remover LokiBot em um dispositivo Windows

Os usuários do Windows 10 precisam aprender como inicializar no Modo de Segurança. Se você estiver usando o Windows 8 ou Windows 7, role para baixo até o item número três em nosso guia para quando o sistema estiver inativo. Escolher Modo de segurança com rede.

Em seguida, vá para o gerenciador de tarefas clicando em Ctrl + Shift + Esc. Vou ao Processos aba e localize LokiBot e quaisquer outros processos maliciosos; clique com o botão direito nele Fim do processo.

Você também pode ir para o do seu computador Painel de controle> Desinstalar programa se você estiver usando o Windows 7 ou 8. No Windows 10, vá para Configurações> Aplicativos e recursos. A partir daí, você pode localizá-lo e clicar em Desinstalar.

Como remover LokiBot de navegadores

Se você estiver usando o Mozilla Firefox, vá para Ferramentas ou clique Shift + Ctrl + A, então vá para Extensões, selecione as extensões relacionadas ao Lokibot na lista e clique em Remover. No Google Chrome, clique em Alt + F então vá para Ferramentas> Extensões. A partir daí, você pode remover o LokiBot.

Você não deve usar o Internet Explorer, pois ele não é mais atualizado pela Microsoft. No entanto, se ainda estiver usando, você pode clicar Alt + T então clique Gerenciar Complementos. Selecione Barras de ferramentas e extensões e verifique a lista à direita. Ao encontrar o LokiBot, você pode clicar com o botão direito e desabilitar. Então clique Mais informações> Remover.

Relacionado: Como desinstalar aplicativos no Windows

Não se esqueça de limpar o cache e o histórico para se livrar de quaisquer vestígios de aplicativos removidos.

Como remover o LokiBot em um dispositivo Android

Para inicializar seu dispositivo Android no Modo de segurança, relembre como remover vírus sem redefinir os padrões de fábrica.

Antes de desinstalar, desative suas permissões administrativas ou você não poderá removê-lo. Para fazer isso, vá para Definições (ou clique no ícone de engrenagens) e vá para Segurança> Administradores de dispositivos. Você verá uma lista de aplicativos com permissão administrativa e poderá desativá-la lá.

Para desinstalar, vá para Configurações> Aplicativos, você verá uma lista de todos os aplicativos em seu dispositivo. Escolha os mal-intencionados que você precisa remover e clique em Desinstalar.

Se você não quiser fazer isso manualmente, pode usar aplicativos gratuitos de remoção de malware como Segurança Malwarebytes e Bitdefender Antivirus.

Para guiá-lo por todo o processo, aqui está um guia completo de remoção de malware que inclui o que fazer antes e depois da eliminação.

LokiBot veio para ficar

Bem quando você pensava que LokiBot estava morto, ele volta com uma tensão ainda mais sinistra. Embora não seja um malware particularmente avançado, é bastante difundido e ainda pode causar muitos problemas se roubar suas credenciais.

O software antivírus (AV) mais confiável pode detectar o LokiBot, desde que seja atualizado regularmente. E como também se destina a dispositivos Android (e muitos usam aplicativos de telefone para fazer transações bancárias), é melhor ter AV no seu telefone também.