Cercetatorii Kaspersky Lab au identificat un nou malware interesant, cu multiple module, care include un numar aproape infinit de functii periculoase, de la mine de cripto-monede, pana la atacuri DDoS. Din cauza arhitecturii modulare, i se pot adauga chiar mai multe functii.
Acest program malware neobisnuit este denumit Loapi. Loapi se evidentiaza din multitudinea de programe malware pentru Android cu o singura functionalitate, precum troieni bancari sau troieni pentru cripto-monede, deoarece are o structura modulara complexa, care permite efectuarea unui numar aproape nelimitat de actiuni, pe un dispozitiv compromis.
Troianul Loapi se raspandeste prin campanii de advertising, sub forma unor pretinse solutii antivirus sau aplicatii pentru adulti. Odata instalate, aplicatiile solicita drepturi de administrator asupra dispozitivului, iar apoi initiaza, discret, comunicarea cu serverele de comanda si control pentru a instala module suplimentare.
Structura troianului Loapi include urmatoarele module:
• Modulul adware – folosit pentru afisarea agresiva de reclame pe dispozitivul utilizatorului;
• Modulul SMS – folosit de malware ca sa realizeze diverse operatiuni cu mesaje text.
• Modulul “web crawler”- folosit pentru a abona utilizatorii la servicii platite fara ca ei sa stie. Modulul SMS ascunde mesajele fata de utilizator, raspunde la ele dupa cum este necesar, apoi sterge toate dovezile.
• Modulul proxy le permite atacatorilor sa execute solicitarile HTTP în numele dispozitivului. Aceste operatiuni pot fi realizate pentru atacuri DDoS.
• Modulul Monero de mining – folosit pentru a obtine cripto-monede Monero (XMR).
În afara numarului mare de functii, Loapi are si capacitatea de a se proteja. Imediat ce un utilizator încearca sa-i retraga drepturile de administrator al dispozitivului, malware-ul blocheaza ecranul dispozitivului si închide fereastra. Pe langa aceasta tehnica standard de protectie, Loapi poate sa primeasca de la serverele de comanda si control o lista de aplicatii periculoase pentru el – de obicei, acestea sunt solutii de securitate care încearca sa elimine malware-ul. Daca o aplicatie instalata sau care ruleaza este în lista, troianul le arata utilizatorilor un mesaj fals care spune ca a fost gasit software periculos si le ofera posibilitatea de a elimina aplicatia. Mesajul este afisat într-o bucla, în acest fel, chiar daca utilizatorul refuza sa stearga aplicatia la început, mesajul va aparea mereu, pana cand utilizatorul va accepta, în cele din urma.
Pe langa faptul ca Loapi este capabil de autoaparare, cercetarea Kaspersky Lab a mai scos la iveala un lucru interesant: testele efectuate pe un telefon mobil selectat aleatoriu au demonstrat ca malware-ul creeaza o supraîncarcare a dispozitivului infectat, care poate chiar sa îl încalzeasca si sa deformeze bateria. Aparent, autorii malware-ului nu vor ca acest lucru sa se întample, pentru ca sunt dornici de a castiga cat mai multi bani, pastrand malware-ul functional. Dar neatentia fata de optimizarea malware-ului a condus la acest neasteptat ”vector de atac” fizic si la posibile daune serioase pentru utilizatorii dispozitivelor.
”Loapi este un exemplu interesant din lumea de programe malware pentru Android deoarece autorii sai au încorporat aproape fiecare caracteristica posibila în design-ul lui”, spune Nikita Buchka, Security Expert la Kasperky Lab. “Motivul este simplu: este mult mai usor sa compromiti un dispozitiv o singura data si apoi sa îl folosesti pentru diferite tipuri de activitati menite sa duca la castiguri ilicite. Riscul neasteptat pe care îl aduce acest malware este ca poate sa distruga telefonul, chiar daca nu poate sa cauzeze pagube financiare directe din furtul datelor de card. Nu este ceva la care te-ai astepta de la un troian pentru Android, chiar de la unul complex.”
Conform cercetarii, Loapi ar putea avea legatura cu Trojan.AndroidOS.Podec. Ambii troieni primesc informatii similare pentru serverul de comanda si control, la început. De asemenea, au metode similare de a crea confuzie.
Cercetatorii Kaspersky Lab îi sfatuiesc pe utilizatori sa ia masuri pentru a-si proteja dispozitivele si datele personale de posibile atacuri cibernetice:
• Dezactivati optiunea de a instala aplicatii din alte surse decat magazinele oficiale de aplicatii;
• Pastrati actualizata versiunea sistemului de operare pentru a reduce vulnerabilitatile din software si a scadea riscul de atac;
• Instalati o solutie de securitate fiabila pentru a proteja dispozitivul de atacuri cibernetice.
