Loapi Android Trojan ataków urządzeń mobilnych

Computer Security News

Kaspersky Lab naukowcy ostrzegają, że znaleźli szkodliwy program, który posiada budowę modułową, która umożliwia wykonywanie różnych działań maleficent. Mobilne zagrożenia nazywa się Trojan.AndroidOS.Loapi i jest przebrany za rozwiązania antywirusowe lub aplikacje zawartości dla dorosłych.

Zdaniem ekspertów bezpieczeństwa trojan możliwości różnią się od wyszukiwania dla kryptowaluty do wyświetlania ciągły strumień reklamy i uruchamiania rozproszonych ataków typu odmowa usługi (DDoS), m.in.

Zazwyczaj Trojan.AndroidOS.Loapi jest rozpowszechniany za pośrednictwem reklamy kampanii, które przekierowują użytkowników do złośliwych stron internetowych hakerów. Jest instalowany w systemie, trojan próbuje uzyskać uprawnienia administratora urządzenia, stale prośbą o nich w pętli.

Pomimo faktu, że zagrożenie sprawdza, czy urządzenie jest zakorzeniona, lub nie Trojan.AndroidOS.Loap nie używa żadnych uprawnień roota. W przypadku, gdy użytkownik udziela uprawnienia administratora złośliwa aplikacja, trojan ukrywa jego ikonę w menu lub symuluje działanie antywirusowe.

Zdaniem naukowców Kaspersky wyświetlany zachowanie Trojan.AndroidOS.Loapi zwykle zależy typ aplikacji, który pojawia się pod pozorem. Zagrożenie jest w stanie Uniemożliwianie użytkownikom odwoływanie jego uprawnienia menedżera urządzenia przez blokowanie ekranu i zamknięcie okna z ustawienia Menedżera urządzeń.

Paskudny trojan otrzymuje polecenia i kontroli (C & C) serwera listę aplikacji, które mogą stwarzać zagrożenie i używa go do monitorowania instalacji i uruchamiania tych aplikacji. Podczas takich aplikacji jest zainstalowany lub uruchomiony, trojan pokazuje fałszywy komunikat, twierdząc, że wykrył malware, pyta użytkownika, aby go usunąć. Komunikat jest wyświetlany w pętli, aby uniemożliwić użytkownikowi odrzucanie go, aż aplikacja zostanie usunięta.

Podczas procesu instalacji, Trojan.AndroidOS.Loap otrzymuje od C & C listę modułów do zainstalowania lub usunięcia, listę domen, które służą jako C & C, dodatkowe zastrzeżone listę domen, listy “niebezpiecznych” aplikacji i flagi czy ukryć jego ikona aplikacji. Podczas trzeciego etapu procesu niezbędne moduły są pobierane i zainicjowany.

Jest modułem ogłoszenie, który jest używany do stale wyświetlania reklam na urządzenia, które może również służyć do otwierania adresów URL, tworzenie skrótów, Pokaż powiadomienia, otwieranie stron w aplikacji popularnych sieci społecznych (w tym Facebook, Instagram, VK), jak również jako Aby pobrać i zainstalować niektóre inne aplikacje.

Moduł SMS można wykonywać różne operacje manipulacji tekstu wiadomości. W oparciu o C & C komendy, moduł jest zdolny do przesyłania odebranych wiadomości SMS serwer ten piraci, odpowiadanie na przychodzące wiadomości, wysyłanie wiadomości SMS z określony tekst do określonej liczby, usuwanie wiadomości SMS ze skrzynki odbiorczej i wysłane folder i wykonywanie żądania adresu URL i wykonywanie określonego kodu JavaScript w otrzymanej odpowiedzi strony.

Modułu przeszukiwania sieci web jest w stanie zapisać się użytkowników do usług przez potajemnie wykonywanie kodu JavaScript na stronach sieci web z płatności WAP, wraz z wykonaniem indeksowanie stron sieci web. Kiedy operatorzy Wyślij SMS z prośbą o potwierdzenie, moduł SMS jest zatrudniony na odpowiedz z żądany tekst. Obok modułu ad obserwowano próby otwarcia 28 000 unikalnych adresów URL na jednym urządzeniu podczas eksperymentu 24-godzinny.

Dodatkowo Trojan.AndroidOS.Loap pakiety proxy moduł, który umożliwia Hakerzy wysyłają żądania HTTP z ofiar urządzeń za pośrednictwem serwera proxy protokołu HTTP. Ta funkcja umożliwia twórcy złośliwego oprogramowania, aby organizować ataki DDoS przeciwko określonych zasobów lub zmienić typ połączenia z Internetem na urządzeniu.

Tam jest inny moduł, który używa Android w wersji z minerd do kopalni dla kryptowaluta Monero (XMR).

Opiera się na fakt, że zarówno zagrożenia stosowania samego C & C adres IP serwera, sam zaciemniania i funkcja podobny sposób wykrywania administratora na urządzeniu, Kaspersky eksperci sugerują, że Loapi trojan może być związana z malware Podec) Trojan.AndroidOS.Podec).

“Loapi jest przedstawicielem ciekawe ze świata złośliwe aplikacje Android. Jego twórcy zaimplementowali w prawie całe spektrum technik ataku urządzeń […]. Jedyną rzeczą, brakuje jest użytkownika szpiegostwa, ale modułowa architektura tego trojana oznacza, można dodać tego rodzaju funkcji w dowolnym momencie,” Państwa zespołu Kaspersky.


Leave a Reply

Your email address will not be published. Required fields are marked *