Z dnia na dzień w sieci pojawia się coraz więcej złośliwych aplikacji, które zagrażają użytkownikom systemu Android. Dziś przedstawię Wam dość nietypowe, a zarazem bardzo niebezpieczne malware, które zdolne jest nawet do fizycznego uszkodzenia telefonu użytkownika. Poznajcie Loapi, prawdziwy multitool dla cyberprzestępców.
Jak można zarazić się malware Loapi?
Podobnie jak inne popularne złośliwe aplikacje, Loapi udostępniany jest głównie za pomocą wyświetlanych na różnych stronach reklam. Jak na razie eksperci z Kaspersky Lab odkryli już ponad 30 różnych aplikacji, które służą za przykrywkę dla wirusa, lecz lista ta prawdopodobnie wciąż będzie się powiększać. Lwia część niebezpiecznych programów to nieprawdziwe antywirusy oraz aplikacje z treściami dla dorosłych.
Po pomyślnej instalacji malware prosi o przyznanie praw administratora urządzenia, co usprawiedliwia „rozbudowanymi funkcjami programu”. Po uzyskaniu odpowiednich uprawnień Loapi ukrywa swoją ikonę lub uruchamia podstawowy interfejs, którego głównym celem jest zmyleniem użytkownika – dla przykładu może on wyświetlać nieprawdziwą animację skanowania systemu, podczas której tak naprawdę nie dzieje się absolutnie nic.
Zobacz także: Czy tak będzie wyglądał Galaxy S9?
Zasada działania aplikacji
Po pierwszym uruchomieniu Loapi rozpoczyna zbieranie danych o urządzeniu, a następnie przesyła je na serwer cyberprzestępców. Ten analizuje otrzymane informacje i odsyła wiadomość zwrotną z komunikatem, które moduły malware musi pobrać na smartfona ofiary, a które odinstalować (chodzi tu oczywiście o kompatybilność – w innym wypadku użytkownik mógłby nabrać podejrzeń). Co więcej, program otrzymuje także aktualizowaną ciągle listę aplikacji, na której znajdują się zaufane antywirusy, które mogłyby interweniować w sprawie malware. Po wykryciu programu z listy Loapi wyświetla ostrzeżenie, w którym nakazuje użytkownikowi usunąć „niebezpieczną aplikację”.
Do czego zdolne jest malware Loapi?
Jak zwykle, głównym celem cyberprzestępców jest zarobek na nieświadomym użytkowniku smartfona. W tym przypadku malware można nazwać prawdziwym zarobkowym kombajnem, ponieważ może korzystać aż z kilku różnych metod wyłudzania pieniędzy. Moduły, z których może korzystać złośliwa aplikacja to:
- Moduł reklamowy – aplikacja zdolna jest do odtwarzania reklam, otwierania adresów URL, tworzenia skrótów oraz powiadomień, a także instalacji innych programów bez zgody użytkownika.
- Moduł SMS – złośliwa aplikacja może wysyłać wiadomości SMS o dowolnej treści pod wskazane przez serwer numery, odpowiadać na otrzymywane SMS-y, usuwać wiadomości ze skrzynki odbiorczej oraz wykonywać kod przesyłany przez cyberprzestępców.
- Moduł internetowy – ten moduł odpowiada za wyłącznie jedną rzecz, a mianowicie za wykonywanie ukrytego kodu JavaScript, który służy do autoryzowania płatności WAP, czyli do zapisywania użytkownika na płatne subskrypcje. W przypadku, gdy konieczne jest potwierdzenie subskrypcji przez wiadomość SMS, program może odnaleźć słowo kluczowe i odesłać je pod wskazany numer.
- Moduł proxy – dzięki tej funkcji aplikacja może kontrolować ruch sieciowy na telefonie użytkownika, dzięki czemu możliwe jest wykonywania ataków DDoS.
- Moduł kryptowalut – oprócz wszystkich powyższych opcji malware może również zarabiać pieniądze dzięki korzystaniu z koparki kryptowalut. W tym celu telefon użytkownika, przez 24 godziny na dobę, wykorzystywany jest przez skrypt Monero do wytwarzania wybranej przez cyberprzestępców kryptowaluty.
Co ważne, Loapi jest pierwszym wirusem na Androidzie, który zdolny jest fizycznie uszkodzić telefon użytkownika z powodu zbyt dużego obciążenia podzespołów. Poniżej zobaczyć możecie zdjęcie testowego smartfona, na którym malware nieprzerwanie działało przez dwa dni (nagrzany akumulator zdeformował się, jednocześnie wyginając obudowę).
Jak pozbyć się tego malware?
Z powodu faktu, że Loapi zawzięcie broni się przed próbą odinstalowania przez użytkownika, m.in. za pomocą wyświetlanych komunikatów o możliwości usunięcia wszystkich danych ze smartfona, najlepszą metodą na pozbycie się złośliwej aplikacji jest manualna deinstalacja programu poprzez konsolę ADB.
Źródło: Kaspersky Lab