Loapi é uma nova forma de malware Android para mineração de moeda

A ascensão do Bitcoin, Litecoin, Monero e outras tecnologias de blockchain coincidiu com um aumento no malware de mineração de moeda ou aplicativos maliciosos que usam o hardware de seus dispositivos para gerar moeda digital. Agora, um novo malware para Android descoberto pela Sophos e apelidado de Loapi (com o nome de vírus Trojan.AndroidOS.Loapi) elevou sua cabeça. É o primeiro malware para Android de seu tipo e está sendo descrito como um “valete de todos os negócios”.

Loapi não está na Google Play Store e não há evidências de que já tenha infectado aplicativos na Play Store. Em vez disso, é veiculada por meio de anúncios e aplicativos falsos e rachados, e muitas vezes se disfarça como conteúdo pornográfico e software antivírus.

Fonte: Kaspersky

Loapi, uma vez instalado, solicita forçosamente o acesso do administrador do dispositivo . Ele também pesquisa dispositivos para acesso root, mas não está claro o porquê - não parece tirar proveito dos privilégios root. É provável que a funcionalidade venha em uma atualização futura.

O malware que tenta obter acesso de administrador do dispositivo. (Fonte: Kaspersky)

Em seguida, o aplicativo faz uma de duas coisas: oculta o atalho do aplicativo na gaveta do aplicativo ou se apresenta como um aplicativo legítimo. Um exemplo do último comportamento está nas capturas de tela abaixo, mas as coisas são muito piores do que parecem na superfície. Depois que o malware obtém acesso de administrador, ele se conecta a vários servidores hospedados pelos atacantes e baixa módulos, ou partes do aplicativo que executam ações maliciosas. Esses módulos estão no formato de arquivos .so, que são a versão Linux dos arquivos .dll. Ao contrário dos arquivos executáveis, esses arquivos são bibliotecas, o que significa que seções deles podem ser chamadas a qualquer momento. Os executáveis ​​têm um ponto de partida fixo.

Funcionalidade do malware Loapi Android

Auto-preservação

Em primeiro lugar, Loapi se preserva. Ele impede que os usuários acessem o menu do administrador do dispositivo, fechando-o sempre que for aberto no menu de configurações e impede que os usuários desinstale o aplicativo host infectado. Além disso, ele solicita que os usuários desinstale todos os aplicativos no dispositivo que possam representar uma ameaça, como aplicativos de segurança e verificadores de malware. Se o usuário não os desinstalar, o prompt será exibido continuamente como uma mensagem do sistema.

Fonte: Kaspersky

Anúncios e mineração de criptomoedas Monero

Loapi executa vários esquemas de publicidade que geram receita em segundo plano. Pesquisadores de segurança observaram:

  • Exibindo anúncios em vídeo e banners
  • Abrindo URLs específicos
  • Criando atalhos no dispositivo
  • Mostrando notificações
  • Abrindo páginas em redes sociais populares, incluindo Facebook, Instagram, VK
  • Fazendo Download e Instalando Outros Aplicativos

Também pode minerar o Monero, uma espécie de criptomoeda. Por que Monero? Para simplificar, à medida que mais transações de uma determinada criptomoeda (como Bitcoin) são processadas, a blockchain, que mantém o controle de todas as moedas existentes, aumenta a dificuldade, dificultando a geração de novas moedas. Monero não é particularmente valioso, mas a dificuldade é baixa o suficiente para que dispositivos mais fracos possam gerá-los. O Loapi gira entre dez contas diferentes em um pool de mineração Monero.

Acessibilidades por SMS

O Loapi tem controle total sobre o SMS nos dispositivos infectados e pode enviar mensagens de texto com números de tarifa premium. Aqui está o que ele pode fazer:

  • Enviar mensagens SMS da caixa de entrada para o servidor do invasor
  • Responder às mensagens recebidas de acordo com as máscaras especificadas (as máscaras são recebidas de um servidor remoto)
  • Envie mensagens SMS com o texto especificado para o número especificado (todas as informações são recebidas de um servidor remoto)
  • Excluir mensagens SMS da caixa de entrada e da pasta enviada de acordo com as máscaras especificadas (as máscaras são recebidas de um servidor remoto)
  • Executar solicitações ao URL e executar o código Javascript especificado na página recebida como resposta (funcionalidade herdada que foi posteriormente movida para um módulo separado)

Muitos dos recursos não estão em uso no momento, mas podem estar no futuro.

Faturamento WAP

Os varejistas que permitem cobrar compras no seu plano telefônico usam um serviço chamado WAP (Wireless Application Protocol). Os sites participantes permitem que você compre algo sem a necessidade de uma conta bancária e pague a fatura na sua conta telefônica mensal.

Este serviço foi abusado por malware no passado para fazer pagamentos aos sites que os invasores controlam, e o Loapi não é diferente. Pesquisadores de segurança da SecureList encontraram um rastreador da Web incorporado que pesquisa esses serviços on-line e, a certa altura, abriu 28.000 URLs exclusivos em um período de 24 horas.

DDoS e Proxy para Atacantes

Finalmente, o Loapi pode criar um proxy para os invasores, o que significa que os dispositivos infectados podem ser usados ​​para realizar um ataque DDoS.


Resultados do Malap Android Loapi

As coisas foram de mal a pior nos testes do Loapi, da SecureList. Os aplicativos infectados não apenas sobrecarregaram enormemente os dispositivos que os executavam, mas também representavam um risco à segurança - as baterias dos dispositivos de teste se inflaram como resultado do alto calor interno.

O dano resultante a um Nexus 5 após o Loapi durou dois dias. (Fonte: Kaspersky)

Aqui está o resumo: Tenha cuidado com o que você baixa e baixe aplicativos de fontes confiáveis ​​como a Play Store. Não há melhor maneira de evitar malware como o Loapi.


Fonte: SourceLinks Via: Pixel Spot