Фахівці «Лабораторії Касперського» попереджають про небезпечне мобільному трояни Loapi. Шкідливий не тільки обкрадає своїх жертв, він також Майні криптовалюта Monero і буквально засипає постраждалих рекламою. Гірше того, переобтяжене настільки різноманітною активністю мобільний пристрій може просто вийти з ладу.
Хоча шкідливих додатків вистачає і в офіційному каталозі Google Play, за його межами таких ще більше. «Піймати» малваре можна як в сторонніх маркетах, так і через SMS-спам, рекламні розсилки і так далі. Саме серед таких сторонніх загроз експерти і виявили Trojan.AndroidOS.Loapi (далі просто Loapi).
Сімейство Loapi поширюється за допомогою різних рекламних кампаній, тобто, клікнувши по рекламному оголошенню, користувач потрапляє на сайт зловмисників. Дослідники повідомляють, що їм вдалося виявити понад 20 подібних ресурсів, і доменні імена багатьох з них відсилають до популярних антивірусних рішень і навіть до одного відомого порносайтів. Справа в тому, що троян маскується саме під мобільні захисні рішення і додатки «для дорослих».
Після установки і запуску малваре запитує права адміністратора пристрою. У разі відмови Loapi діє по давно перевіреної зловмисниками схемою: малваре бере користувача змором. Троян продовжить виводити вікно запиту до тих пір, поки користувач не погодиться. Також Loapi цікавиться правами root, але поки ніяк їх не використовує - можливо, це заділ для майбутніх модулів.
Після успішного отримання привілеїв адміністратора, в залежності від того, під який додаток маскується троян, він або приховує свою іконку, або імітує діяльність антивіруса.
Експерти «Лабораторії Касперського» виявили, що при цьому шкідливий активно чинить опір відкликання прав адміністратора. Так, якщо користувач спробує відібрати у малварі ці права, та заблокує екран пристрою і закриє вікно зняття прав.
Більш того, Loapi здатний отримувати список небезпечних для себе додатків з керуючого сервера. У разі виявлення додатків з цього списку на смартфоні, малваре відображає попередження про виявлення шкідливого ПО і пропонує видалити «загрозу». Попередження зациклено - якщо користувач відмовиться, воно виникне знову і буде з'являтися до тих пір, поки не буде зроблений «правильний» вибір.
Модульна структура Loapi має на увазі, що троян здатний на льоту змінювати функції по команді від віддаленого сервера, самостійно завантажуючи і встановлюючи потрібні доповнення. А модулі троян використовує найрізноманітніші.
структура Loapi
Рекламний модуль використовується для агресивного показу реклами на зараженому пристрої. Також може застосовуватися для прихованої накрутки сайтів і акаунтів в соціальних мережах. Його можливості досить широкі:
- показ відеореклами і банерів;
- відкриття URL;
- створення ярликів на пристрої;
- відображення сповіщень;
- відкриття сторінок в соціальних мережах (в тому числі Facebook, Instagram, «ВКонтакте»);
- завантаження і установка інших додатків.
SMS-модуль використовується для виконання різних операцій з текстовими повідомленнями. Періодично він звертається до C & C-серверу за актуальними настройками і командами. У його веденні знаходяться:
- пересилання вхідних SMS (по маскам) зловмисникам;
- відповідь на вхідні повідомлення по заданих маскам (отримує від C & C-сервера);
- відправка SMS (номер телефону і текст повідомлення отримує від C & C-сервера);
- видалення вхідних і відправлених SMS (по маскам, одержуваних від C & C-сервера);
- отримання від командного сервера URL сторінки і JavaScript-коду для виконання на ній.
Веб-краулер служить для прихованого виконання JavaScript-коду на сторінках WAP-білінгу і оформлення платних підписок. При цьому Loapi може обійти механізм підтвердження підписки: SMS-модуль приховає повідомлення від користувача, відповість на нього належним чином і потім видалить всі «докази». Також даний модуль може використовуватися для прокліківанія веб-сторінок. Так, під час дослідження малваре звернулася більш ніж до 28 000 унікальним адресами тільки на одному пристрої.
Модуль проксі створює проксі-сервер, який дозволяє зловмисникам виконувати HTTP запити від імені пристрою. Ця функціональність може використовуватися і для організації DDoS-атак. Також модуль має можливість змінювати спосіб підключення пристрою до мережі (мобільні мережу або Wi-Fi).
Майнінговий модуль використовує Android-реалізацію minerd для Майнінг криптовалюта Monero (XMR).
Під час вивчення Loapi, фахівці «Лабораторії Касперського» запідозрили, що малваре може бути пов'язана з іншим мобільним шкідливий, Trojan.AndroidOS.Podec. На користь цієї теорії говорять відразу кілька фактів:
- збіг IP-адрес серверів, що управляють.
- збігаються унікальні поля на стадії початкового збору інформації;
- схожа обфускація;
- схожі способи визначення наявності на пристрої SU;
- схожа функціональність: обидва трояна підписують своїх жертв на платні WAP-сервіси.
Жоден з цих аргументів не є незаперечним доказом, проте, експерти вважають, що Podec і Loapi можуть бути справою рук однієї тієї ж групи зловмисників.
«Автори Loapi втілили в ньому практично всі можливі функції мобільного зловреда: жертву можна підписати на платні послуги, відправляти від її імені повідомлення, використовувати її смартфон для генерації трафіку і Майнінг криптовалюта. Для повноти картини не вистачає лише можливості шпигувати за користувачем, але завдяки модульній архітектурі троянця цей «недолік» досить легко виправити », - пишуть експерти.
Як постскриптум до звіту про Loapi дослідники доклали фотографії, які можна побачити нижче. Під час проведення тестів фахівці втратили одного з пристроїв: модуль генерації трафіку і майнер так «навантажили» смартфон, що через два дні від перегріву у нього здувся акумулятор.
фото: «Лабораторія Касперського»