Ransomware merupakan jenis malware yang mengenkripsi file korban yang terinfeksi sehingga membuatnya tidak dapat diakses, untuk bisa mengakses kembali file yang dienkripsi korban diharuskan untuk mengirim uang tebusan dalam bentuk mata uang digital (cryptocurrency) seperti Bitcoin agar mendapatkan key khusus untuk mendeskripsi file tersebut, LokiBot Malware adalah salah satunya.
Riset keamanan SFYLABS telah menemukan sebuah malware perbankan pada smartphne berbasis Android bernama LokiBot, malware ini akan berubah menjadi ransomware dan mengunci ponsel yang terinfeksi saat pengguna mencoba untuk menghapus hak administratornya.
Mirip dengan Svpeng, CryEye, DoubleLocker, ExoBot, dan keluarga malware Android lainnya, LokiBot ini dijual pada deepweeb, forum hacking dengan lisensi penuh sekitar $ 2.000 dibayar menggunakan mata uang digital seperti Bitcoin.
Karakteristik LokiBot Malware
LokiBot memiliki kemampuan unik yang membedakannya dengan malware Android banking lainnya. LokiBot dapat membuka aplikasi browser dan mengakses URL serta memasang proxy SOCKS5 untuk membaca dan mengirim pesan SMS secara otomatis ke semua kontak korban untuk mengirim spam SMS dan menginfeksi pengguna baru.
Malware ini juga mampu meniru notifikasi pemberitahuan dari perbankan dan menyelinap menjadi aplikasi perbankan, misalnya mengenai pemberitahuan tranfer dana masuk ke rekening. Dengan begitu korban akan terpancing dan login ke akun Bank, selanjutnya secara otomatis informasi perbankan akan di sadap oleh aplikasi perbankan palsu tersebut, tekhnik ini juga dikenal dengan istilah phising.
Bukan hanya aplikasi perbankan, LokiBot juga mampu menampilkan halaman masuk palsu di atas aplikasi non-perbankan seperti Skype, Outlook dan WhatsApp.
Ketika Berusaha Menghapus LokiBot Malware di Smartphone
LokiBot ini diselipkan pada sebuah aplikasi yang meminta hak akses admin pada saat pemasangan. Menghapus pemasangan aplikasi yang diselipkan LokiBot Malware atau mencabut hak administratornya akan memicu LokiBot mengunci smartphone dan menampilkan layar pesan untuk mengirim sejumlah uang dengan isi pesan “Your phone is locked for viewing child po***graphy“.
Image Source: SFYLABS
Untuk menghapus tampilan tersebut dan mengembalikan data yang dienskripsi korban harus mengirim sejumlah uang antara $70 – $100 dalam bentuk mata uang digital seperti Bitcoin dan memberikan tenggat waktu 48 jam untuk korban mengirimkan uang tebusan ke alamat Bitcoin yang sudah di sediakan.
Image Source: SFYLABS
Berdasarkan alamat Bitcoin yang digunakan SFYLABS menemukan fakta mengejutkan, ternyata alamat Bitcoin yang di gunakan untuk menampung uang tebusan dari para korban memiliki riwayat transaksi lebih dari $ 1,5 juta USD. Namun belum bisa dipastikan apakah alamat Bitcoin tersebut memang bersal dari uang tebusan LokiBot atau ada sumber pemasukan lainnya.
Runtime LokiBot Malware Error
Kabar baiknya runtime LokiBot ternyata tidak diimplementasikan dengan benar dan gagal mengenkripsi file korban.
Menurut SFYLABS, fungsi ransomware “Go_Crypt” LokiBot seharusnya mengunci layar pengguna dan mengenkripsi file dengan algoritma AES128.
Fungsi enkripsi dalam ransomware initernyata benar-benar gagal, walaupun file korban telah terenkripsi namun file tersebut kembali didekripsi oleh LokiBot sendiri, dengan begitu korban tidak akan kehilangan file tersebut, file tersebuat hanya diganti namanya.
SFYLABS menghimbau para pengguna smartphone berbasis Android untuk lebih waspada dalam memasang aplikasi pihak ketiga serta rutin memperbaharui sistem keamanan Android yang kamu gunakan agar terhindar dari ancaman malware seperti LokiBot ini.
