{"id":9740,"date":"2017-11-03T10:06:12","date_gmt":"2017-11-03T10:06:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9740"},"modified":"2019-11-22T09:02:43","modified_gmt":"2019-11-22T09:02:43","slug":"lokibot-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/lokibot-trojan\/9740\/","title":{"rendered":"LokiBot : s’il ne vole pas, il fait de l’extorsion"},"content":{"rendered":"

Vous souvenez-vous de l\u2019hydre de la mythologie ? Ce serpent \u00e0 plusieurs t\u00eates qui faisait pousser deux t\u00eates quand l\u2019une \u00e9tait coup\u00e9e ? Une b\u00eate tout aussi dangereuse est apparue<\/a> dans le zoo des malwares pour Android.<\/p>\n

LokiBot en tant que cheval de Troie bancaire<\/h2>\n

Comment les chevaux de Troie bancaires se comportent-ils ? Ils pr\u00e9sentant \u00e0 l\u2019utilisateur un faux \u00e9cran qui simule l\u2019interface bancaire mobile. Les victimes innocentes ins\u00e8rent leurs identifiants de connexion que le malware redirige aux attaquants, leur donnant ainsi acc\u00e8s aux comptes.<\/p>\n

Comment LokiBot se comporte-t-il ? Grosso modo de la m\u00eame mani\u00e8re, mais il ne fait pas que simuler un \u00e9cran d\u2019application bancaire, mais aussi les interfaces client de WhatsApp, Skype et Outlook en affichant des notifications qui viennent suppos\u00e9ment de ces applications.<\/p>\n

Cela veut dire qu\u2019une personne peut recevoir une fausse notification de leur banque annon\u00e7ant que des fonds ont \u00e9t\u00e9 transf\u00e9r\u00e9s sur leur compte ; en voyant cette bonne nouvelle, l\u2019utilisateur est susceptible de se connecter au client bancaire mobile pour voir la confirmation. LokiBot fait m\u00eame vibrer le smartphone quand il affiche la notification \u00e0 propos du transfert suppos\u00e9, ce qui aide \u00e0 tromper m\u00eame les utilisateurs les plus attentifs.<\/p>\n

Mais LokiBot a un autre as dans sa manche : il peut ouvrir un navigateur, naviguer sur des pages sp\u00e9cifiques et m\u00eame utiliser un appareil infect\u00e9 pour envoyer des spams ; c\u2019est sa mani\u00e8re de se propager. Apr\u00e8s avoir ponctionn\u00e9 de l\u2019argent sur votre compte, LokiBot continue \u00e0 fonctionner en envoyant un SMS malveillant \u00e0 tous vos contacts pour infecter autant que de smartphones et de tablettes que possible, en r\u00e9pondant m\u00eame aux messages re\u00e7us si n\u00e9cessaire.<\/p>\n

Si l\u2019utilisateur tente de supprimer LokiBot, le malware r\u00e9v\u00e8le une autre de ses facettes : pour voler des fonds d\u2019un compte bancaire, il a besoin de droits d\u2019administrateurs ; si vous tentez de lui refuser la permission, il mute ; au lieu d\u2019un cheval de Troie bancaire, il devient un ransomware.<\/p>\n

LokiBot sous forme de ransomware. Comment d\u00e9bloquer un smartphone<\/h3>\n

Dans ce cas, LokiBot bloque l\u2019\u00e9cran et affiche un message accusant la victime de voir de la pornographie infantile et exige une ran\u00e7on. Il chiffre \u00e9galement les donn\u00e9es de l\u2019appareil. En examinant le code de LokiBot, les chercheurs ont d\u00e9couvert qu\u2019il utilise un chiffrement faible et ne fonctionne pas correctement ; l\u2019attaque laisse des copies non chiffr\u00e9es de l\u2019appareil sur l\u2019appareil, simplement avec d\u2019autres noms ; les restaurer est donc relativement facile.<\/p>\n

Cependant, l\u2019\u00e9cran de l\u2019appareil est toujours bloqu\u00e9, et les cr\u00e9ateurs de malwares demandent 100 $ en Bitcoin pour le d\u00e9bloquer. Mais vous n\u2019\u00eates pas oblig\u00e9 de c\u00e9der : apr\u00e8s avoir reboot\u00e9 l\u2019appareil en mode s\u00e9curis\u00e9, vous pouvez retirer <\/a> les droits d\u2019administrateur au malware et le supprimer. Pour cela, vous devez d\u2019abord d\u00e9terminer quelle version d\u2019Android vous avez :<\/p>\n

\u00b7 S\u00e9lectionnez Param\u00e8tres<\/em>.
\n\u00b7 S\u00e9lectionnez l\u2019onglet G\u00e9n\u00e9ral<\/em>.
\n\u00b7 S\u00e9lectionnez \u00c0 propos de l\u2019appareil<\/em>.
\n\u00b7 Trouvez la ligne version Android<\/em> \u2014 les chiffres en dessous de cette ligne indiquent la version de votre syst\u00e8me.<\/p>\n

Pour activer le mode s\u00e9curis\u00e9 sur un appareil de version 4.4 \u00e0 7.1, faites ce qui suit :<\/p>\n

\u00b7 Maintenez appuy\u00e9 le bouton d\u2019alimentation jusqu\u2019\u00e0 ce qu\u2019un menu apparaisse avec l\u2019option \u00c9teindre ou D\u00e9connecter la source d\u2019alimentation<\/em>.
\n\u00b7 Maintenez appuy\u00e9 \u00c9teindre<\/em> ou D\u00e9connecter la source d\u2019alimentation<\/em>.
\n\u00b7 Dans le menu Activer le mode s\u00e9curis\u00e9<\/em> qui appara\u00eet, cliquez sur OK<\/em>.
\n\u00b7 Attendez que le t\u00e9l\u00e9phone red\u00e9marre.<\/p>\n

Nous recommandons aux propri\u00e9taires de p\u00e9riph\u00e9riques avec d\u2019autres versions d\u2019Android de rechercher en ligne des informations permettant d\u2019activer le mode s\u00e9curis\u00e9 pour leur t\u00e9l\u00e9phone.<\/p>\n

Malheureusement, tout le monde ne conna\u00eet pas cette mani\u00e8re de tuer le malware. Les victimes de LokiBot ont d\u00e9j\u00e0 d\u00e9bours\u00e9 presque 1,5 million de dollars<\/a>. Et comme LokiBot est disponible sur le march\u00e9 noir pour seulement 2 000 dollars, il est probable que les criminels responsables aient d\u00e9j\u00e0 bien r\u00e9cup\u00e9rer leur investissement.<\/p>\n

Comment vous prot\u00e9ger contre LokiBot<\/h3>\n

En effet, les mesures qui peuvent \u00eatre prises pour se prot\u00e9ger contre LokiBot sont applicables pour tous les malwares mobiles. Voici la mani\u00e8re dont vous pouvez vous prot\u00e9ger :
\n\u2013 Ne cliquez jamais sur des liens suspicieux \u2013 c\u2019est comme cela que LokiBot se r\u00e9pand.
\n\u2013 T\u00e9l\u00e9chargez uniquement des applications par le biais de Google Play, mais faites attention\u00a0m\u00eame dans le magasin officiel<\/a>.
\n\u2013 Installez une solution de s\u00e9curit\u00e9 fiable sur votre smartphone et votre tablette. Kaspersky Internet Security pour Android d\u00e9tecte toutes les variantes de LokiBot. Avec la version payante, il n\u2019est pas n\u00e9cessaire de scanner le smartphone apr\u00e8s l\u2019installation de chaque nouvelle application.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Ce cheval de Troie bancaire mobile et versatile se transforme en ransomware s’il d\u00e9tecte une tentative de suppression.<\/p>\n","protected":false},"author":2458,"featured_media":9741,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[59,161,754,2570,2569,2568,204,353],"class_list":{"0":"post-9740","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-cheval-de-troie","10":"tag-cheval-de-troie-bancaire","11":"tag-chiffreur","12":"tag-hybride","13":"tag-lokibot","14":"tag-menaces","15":"tag-ransomware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lokibot-trojan\/9740\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lokibot-trojan\/11746\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lokibot-trojan\/9786\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lokibot-trojan\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lokibot-trojan\/12066\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lokibot-trojan\/11693\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lokibot-trojan\/14718\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lokibot-trojan\/14447\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lokibot-trojan\/19131\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lokibot-trojan\/4375\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lokibot-trojan\/20030\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lokibot-trojan\/9909\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lokibot-trojan\/8480\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lokibot-trojan\/15174\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lokibot-trojan\/8828\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lokibot-trojan\/18627\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lokibot-trojan\/19019\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lokibot-trojan\/19012\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2458"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=9740"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9740\/revisions"}],"predecessor-version":[{"id":12869,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/9740\/revisions\/12869"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/9741"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=9740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=9740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=9740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}