Loapi se evidențiază din multitudinea de programe malware pentru Android cu o singură funcționalitate, precum troieni bancari sau troieni pentru cripto-monede, deoarece are o structură modulară complexă, care permite efectuarea unui număr aproape nelimitat de acțiuni, pe un dispozitiv compromis.
Troianul Loapi se răspândește prin campanii de advertising, sub forma unor pretinse soluții antivirus sau aplicații pentru adulți. Odată instalate, aplicațiile solicită drepturi de administrator asupra dispozitivului, iar apoi inițiază, discret, comunicarea cu serverele de comandă și control pentru a instala module suplimentare.
Structura troianului Loapi include următoarele module:
- Modulul adware - folosit pentru afișarea agresivă de reclame pe dispozitivul utilizatorului;
- Modulul SMS - folosit de malware ca să realizeze diverse operațiuni cu mesaje text.
- Modulul “web crawler”- folosit pentru a abona utilizatorii la servicii plătite fără ca ei să știe. Modulul SMS ascunde mesajele față de utilizator, răspunde la ele după cum este necesar, apoi șterge toate dovezile.
- Modulul proxy le permite atacatorilor să execute solicitările HTTP în numele dispozitivului. Aceste operațiuni pot fi realizate pentru atacuri DDoS.
- Modulul Monero de mining - folosit pentru a obține cripto-monede Monero (XMR).
În afara numărului mare de funcții, Loapi are și capacitatea de a se proteja. Imediat ce un utilizator încearcă să-i retragă drepturile de administrator al dispozitivului, malware-ul blochează ecranul dispozitivului și închide fereastra. Pe lângă această tehnică standard de protecție, Loapi poate să primească de la serverele de comandă și control o listă de aplicații periculoase pentru el – de obicei, acestea sunt soluții de securitate care încearcă să elimine malware-ul. Dacă o aplicație instalată sau care rulează este în listă, troianul le arată utilizatorilor un mesaj fals care spune că a fost găsit software periculos și le oferă posibilitatea de a elimina aplicația. Mesajul este afișat într-o buclă, în acest fel, chiar dacă utilizatorul refuză să șteargă aplicația la început, mesajul va apărea mereu, până când utilizatorul va accepta, în cele din urmă.
Pe lângă faptul că Loapi este capabil de autoapărare, cercetarea Kaspersky Lab a mai scos la iveală un lucru interesant: testele efectuate pe un telefon mobil selectat aleatoriu au demonstrat că malware-ul creează o supraîncărcare a dispozitivului infectat, care poate chiar să îl încălzească și să deformeze bateria. Aparent, autorii malware-ului nu vor ca acest lucru să se întâmple, pentru că sunt dornici de a câștiga cât mai mulți bani, păstrând malware-ul funcțional. Dar neatenția față de optimizarea malware-ului a condus la acest neașteptat ”vector de atac” fizic și la posibile daune serioase pentru utilizatorii dispozitivelor.
”Loapi este un exemplu interesant din lumea de programe malware pentru Android deoarece autorii săi au încorporat aproape fiecare caracteristică posibilă în design-ul lui”, spune Nikita Buchka, Security Expert la Kasperky Lab. “Motivul este simplu: este mult mai ușor să compromiți un dispozitiv o singură dată și apoi să îl folosești pentru diferite tipuri de activități menite să ducă la câștiguri ilicite. Riscul neașteptat pe care îl aduce acest malware este că poate să distrugă telefonul, chiar dacă nu poate să cauzeze pagube financiare directe din furtul datelor de card. Nu este ceva la care te-ai aștepta de la un troian pentru Android, chiar de la unul complex.”
Conform cercetării, Loapi ar putea avea legătură cu Trojan.AndroidOS.Podec. Ambii troieni primesc informații similare pentru serverul de comandă și control, la început. De asemenea, au metode similare de a crea confuzie.
Cercetătorii Kaspersky Lab îi sfătuiesc pe utilizatori să ia măsuri pentru a-și proteja dispozitivele și datele personale de posibile atacuri cibernetice:
- Dezactivați opțiunea de a instala aplicații din alte surse decât magazinele oficiale de aplicații;
- Păstrați actualizată versiunea sistemului de operare pentru a reduce vulnerabilitățile din software și a scădea riscul de atac;
- Instalați o soluție de securitate fiabilă pentru a proteja dispozitivul de atacuri cibernetice.
Mai multe informații despre troianul Loapi sunt disponibile pe Securelist.com.
