Loapi Android Trojan attacker mobila enheter

Computer Security News

Kaspersky Lab forskare varnar för att de har hittat ett skadligt program som har en modulär arkitektur som tillåter olika maleficent verksamhet. Det mobila hot kallas Trojan.AndroidOS.Loapi och det är förklädd antiviruslösningar eller vuxen innehåll program.

Enligt experterna säkerhet varierar trojan funktionerna från gruvdrift för kryptovalutor till visar en ständig ström av annonser och starta distribuerade denial of service (DDoS) attacker, bland annat.

Trojan.AndroidOS.Loapi är vanligtvis distribueras via reklamkampanjer som omdirigera användare till hackare skadliga webbplatser. Installeras på systemet, försöker trojanen få enheten administratören rättigheterna, kontinuerligt begär dem i en loop.

Trots det faktum att hotet kontrollerar huruvida enheten är rotad eller inte, använder inte Trojan.AndroidOS.Loap någon root-privilegier. I fall användaren beviljar skadligt program admin privilegier, trojan antingen döljer dess ikon i menyn, eller simulerar antivirusaktiviteter.

Enligt forskarna Kaspersky beror Trojan.AndroidOS.Loapi visas beteende oftast på typ av program det maskerader som. Hotet är kan förhindra användare från att återkalla dess device manager behörigheter genom att låsa skärmen och stänga fönstret med inställningar för enhetshanterare.

Den otäcka trojanen mottar kommandot och kontroll (C & C) servern en lista över appar som kan utgöra en fara och används för att övervaka installation och lanseringen av dessa ansökningar. När en sådan app är installerat eller lanserade, visar trojan en försköna meddelande som påstår att man har upptäckt skadlig kod, ber användaren att ta bort den. Meddelandet visas i en slinga för att hindra användaren från att avskeda den tills programmet tas bort.

Under installationen, får Trojan.AndroidOS.Loap från C & C förteckningar över moduler att installera eller ta bort, en lista över domäner som tjänar som C & C, en ytterligare reserverade förteckning över domäner, listan över ”farliga” program och en flagga om du vill dölja dess app-ikonen. Under den tredje etappen i processen, är nödvändiga modulerna hämtade och initierats.

Det finns en annons modul som används att ständigt Visa annonser på enheten, som också kan användas för att öppna URL-adresser, skapa genvägar, Visa aviseringar, öppna sidor i populära sociala nätverksprogram (inklusive Facebook, Instagram, VK), samt som Hämta och installera några andra appar.

SMS modulen kan utföra olika text meddelande otillbörlig verksamhet. Baserat på C & C kommandon, modulen kan skicka inkorg SMS meddelanden till hackare servern svarar på inkommande meddelanden, skicka SMS med angivna texten till angivna nummer, radera SMS-meddelanden från Inkorgen och skickat mapp och köra förfrågningar till URL och kör angivna JavaScript-kod på sidan som mottagits som svar.

Krypande webbmodulen är kunna prenumerera användare till tjänster genom JavaScript kod hemlighet körs på webbsidor med WAP-fakturering, tillsammans med utför webbsida krypande. När operatörerna skickar textmeddelanden ber om bekräftelse, är SMS modulen anställd att svara med nödvändig texten. Tillsammans med ad modulen konstaterades det försöker öppna 28.000 unika webbadresser på en enhet under en 24-timmars experiment.

Dessutom förpackningar Trojan.AndroidOS.Loap en proxy-modulen som gör att hackare skicka HTTP-begäranden från offrens enheter via en HTTP-proxyserver. Denna funktion tillåter malware skaparna att organisera DDoS-attacker mot angivna resurser eller ändra vilken typ av Internetanslutning på en enhet.

I området i närheten finns det en annan modul som använder Android-versionen av minerd till gruvan för den Monero (XMR) kryptovaluta.

Bygger på det faktum att både hot använda den samma C & C server IP-adress, samma förvirring och funktion liknande sätt upptäcka superanvändare på enheten, de Kaspersky experterna föreslår att Loapi trojan kan vara relaterat till den Podec malware ( Trojan.AndroidOS.Podec).

– Loapi är en intressant representant från världen av skadliga Android appar. Dess skapare har genomfört nästan hela spektrumet av tekniker för attackerande enheter […]. Det enda som saknas är användaren spionage, men denna Trojan modulär arkitektur innebär att det är möjligt att lägga till denna typ av funktionalitet som helst ”, Kaspersky team staterna.


Leave a Reply

Your email address will not be published. Required fields are marked *