Saiba mais sobre o Loapi !!
Um malware do Android recentemente descoberto possui uma arquitetura modular que lhe permite realizar uma ampla gama de atividades nefastas, advertem os pesquisadores da Kaspersky Lab.
Detectado por Kaspersky como Trojan.AndroidOS.Loapi , o programa malicioso foi encontrado mascarado como soluções antivírus ou aplicativos de conteúdo para adultos. As suas capacidades, segundo os pesquisadores de segurança, variam desde a mineração para criptografia até exibir um fluxo constante de anúncios e ao lançamento de ataques distribuídos de negação de serviço (DDoS), entre outros.
A ameaça móvel foi observada distribuída através de campanhas publicitárias que redirecionaram usuários para os sites mal-intencionados dos invasores. Após a instalação, o malware tenta obter direitos de administrador do dispositivo, solicitando-os continuamente em um loop. Embora ele verifique se o dispositivo está rooteado, o Trojan não usa privilégios de root.
Se o usuário entregar e conceder privilégios de administrador de aplicativos mal-intencionados, o Loapi oculta seu ícone no menu ou simula a atividade de antivírus. O comportamento exibido depende do tipo de aplicativo que se caracteriza como a Kaspersky descobriu .
O Trojan pode impedir que os usuários revocem suas permissões de gerenciador de dispositivos bloqueando a tela e fechando a janela com as configurações do gerenciador de dispositivos. Além disso, o malware recebe do servidor de comando e controle (C & C) uma lista de aplicativos que podem representar um perigo e o usa para monitorar a instalação e o lançamento desses aplicativos.
Quando um aplicativo é instalado ou lançado, o Trojan exibe uma mensagem falsa alegando que detectou malware, solicitando ao usuário que o exclua. A mensagem é exibida em um loop, impedindo assim o usuário de descartá-lo até que o aplicativo seja excluído.
Na instalação, a Loapi recebe das listas de módulos C & C para instalar ou remover, uma lista de domínios que servem como C & C, uma lista de domínios reservados adicionais, a lista de aplicativos "perigosos" e uma bandeira para esconder o ícone do aplicativo. Em uma terceira etapa durante o processo, os módulos necessários são baixados e inicializados.
Um módulo de publicidade é usado para exibir anúncios agressivos no dispositivo, mas também pode ser usado para abrir URLs, criar atalhos, mostrar notificações, abrir páginas em aplicativos populares de redes sociais (incluindo o Facebook, Instagram, VK) e baixar e instalar outros aplicativos .
Um módulo SMS pode executar várias operações de manipulação de mensagens de texto. Com base nos comandos C & C, ele pode enviar mensagens SMS para o servidor dos atacantes, responder às mensagens recebidas, enviar mensagens SMS com o texto especificado para o número especificado, excluir mensagens SMS da caixa de entrada e da pasta enviada e executar pedidos para URL e executar o código JavaScript especificado na página recebida como resposta.
Um módulo de rastreamento da Web pode assinar usuários em serviços secretamente executando código JavaScript em páginas da Web com faturamento WAP , além de executar o rastreamento de páginas da web. Caso os operadores enviem mensagens de texto pedindo confirmação, o módulo SMS é empregado para responder com o texto requerido. Juntamente com o módulo de anúncios, observou-se tentando abrir 28.000 URLs únicos em um único dispositivo durante um experimento de 24 horas.
O Trojan também possui um módulo de proxy que permite que os invasores enviem pedidos HTTP dos dispositivos das vítimas através de um servidor proxy HTTP. Esse recurso permite que os autores de malware organizem ataques DDoS contra recursos especificados ou alterem o tipo de conexão com a Internet em um dispositivo, advertem os pesquisadores de segurança.
Outro módulo usa a versão do Android de minerd to mine para o Monero (XMR) cryptocurrency.
De acordo com o Kaspersky, o Loapi pode estar relacionado ao malware do Podec ( Trojan.AndroidOS.Podec ), uma vez que ambas as ameaças usam o mesmo endereço IP do servidor C & C, ambos usam a mesma ofuscação e apresentam formas similares de detectar o superusuário no dispositivo. Além disso, ambos coletam informações com estrutura e conteúdo semelhantes e enviam-na em formato JSON para C & C durante a fase inicial.
" O Loapi é um representante interessante do mundo dos aplicativos maliciosos do Android. Seus criadores implementaram quase todo o espectro de técnicas para atacar dispositivos [...]. A única coisa que falta é a espionagem do usuário, mas a arquitetura modular deste Trojan significa que é possível adicionar esse tipo de funcionalidade a qualquer momento ", conclui a Kaspersky.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário