Зловред больших возможностей: «Лаборатория Касперского» нашла невероятно многофункционального Android-троянца

«Лаборатория Касперского» нашла необычный экземпляр мобильного троянца. Зловред, получивший название Loapi, не похож на все прочие вредоносные программы для платформы Android. В силу своей модульной структуры он содержит чрезвычайно широкий набор функций и способен выполнять практически неограниченный набор вредоносных действий на зараженном устройстве: от подписки жертвы на платные сервисы до майнинга криптовалюты. Ранее подобные многозадачные Android-троянцы антивирусным экспертам не встречались. На данный момент «Лаборатория Касперского» зафиксировала более 45 тысяч попыток заражения зловредом.

Loapi распространяется с помощью рекламных кампаний, в которых пользователи перенаправляются на сайты злоумышленников, где и скачивают зловред. Эксперты «Лаборатории Касперского» насчитали более 20 подобных ресурсов – их доменные имена в большинстве своем отсылают к некоторым антивирусным решениям и одному очень известному порносайту. Сам же троянец маскируется под мобильные защитные решения и приложения для взрослых. После установки Loapi запрашивает права администратора, причем делает это крайне настойчиво и не оставляет пользователю иного выбора, кроме как согласиться, и затем приступает к «работе».

На данный момент Loapi содержит следующие модули: 

  • рекламный – используется для агрессивного показа рекламы, а также скрытой накрутки сайтов и аккаунтов в социальных сетях;
  • SMS – используется для выполнения различных операций с текстовыми сообщениями, в частности пересылки SMS злоумышленникам, удаления входящих и отправленных сообщений и т.п.;  
  • веб-краулер – служит для оформления на жертву платных подписок, в чем ему помогает SMS-модуль, который скрывает от пользователя сообщение об активации подписки;
  • прокси – позволяет злоумышленникам выполнять HTTP запросы с зараженного устройства, что, в том числе, служит для организации DDoS-атак;
  • майнер – используется для майнинга криптовалюты Monero (XMR).

Помимо способности осуществлять столь широкий спектр вредоносных действий, Loapi также обладает функцией самозащиты. К примеру, троянец активно сопротивляется отзыву прав администратора: в случае попытки пользователя отобрать у него эти права зловред блокирует экран устройства и закрывает окно с настройками. Кроме того, Loapi получает с командного сервера список опасных для себя приложений, например, защитных решений, и в случае обнаружения их на смартфоне жертвы выдает предупреждение о наличии якобы вредоносного ПО с предложением удалить его. Любопытно, что предупреждение «зациклено»: если пользователь откажется от удаления приложения, троянец будет показывать оповещение снова и снова – до тех пор, пока не будет сделан «правильный» выбор.  

В процессе исследования зловреда эксперты «Лаборатории Касперского» обнаружили еще одну опасную возможность Loapi. Модуль генерации трафика и майнер настолько сильно «нагрузили» тестовый смартфон, что аккумулятор устройства деформировался и увеличился в размерах буквально через два дня работы троянца. 

«Loapi является очень необычным представителем Android-зловредов. Авторы воплотили в нем практически все возможные функции вредоносного мобильного ПО. Однако объясняется это просто: злоумышленники понимают, что гораздо легче один раз заразить устройство и дальше использовать его для нелегального заработка денег самыми разными способами. С помощью Loapi киберпреступники могут подписать жертву на платные услуги, отправлять от ее имени сообщения, использовать смартфон для генерации трафика и майнинга криптовалюты. Для полноты картины не хватает лишь возможности шпионить за пользователем, но благодаря модульной архитектуре троянца этот «недостаток» достаточно легко исправить», – прокомментировал особенности нового мобильного троянца Никита Бучка, антивирусный аналитик «Лаборатории Касперского».

Более подробная информация о функциях и возможностях Loapi доступна в аналитическом отчете «Лаборатории Касперского»: https://securelist.ru/jack-of-all-trades/88240/.

Хотите быть в курсе последних событий?
Подпишитесь на рассылку новостей Axoft
Следите за нашими новостями в социальных сетях
Популярное
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017
Последние новости
Новая версия InfoWatch Traffic Monitor 6.10 обеспечивает защиту от утечки данных в организациях с разветвлённой филиальной структурой
Группа компаний (ГК) InfoWatch сообщает о выпуске InfoWatch Traffic Monitor 6.10 — флагманского решения для предотвращения утечек конфиденциальной информации и защиты организаций от внутренних угроз информационной безопасности (DLP-система). Новая версия продукта содержит инструменты для расширения защищенного периметра корпоративной сети на облачные сервисы и мобильные устройства, а также контроля уровня информационной безопасности в организациях с территориально-распределенной структурой благодаря обновлению модуля визуальной аналитики InfoWatch Vision.

Подробнее
10.07.2018
Техническая экспертиза от компании Axoft
Уважаемые партнеры!
Компания Axoft Беларусь представляет партнерам новую для своего региона услугу технического консалтинга. Данный сервис уже не первый год представлен на территории России, а теперь услуга доступна и партнерам в Беларуси.
Подробнее
10.07.2018