Peranti mudah alih serangan Loapi Android Trojan

Computer Security News

Makmal Kaspersky penyelidik memberi amaran bahawa mereka telah menemui satu program berniat jahat yang mempunyai seni bina modular yang membolehkan menjalankan pelbagai aktiviti maleficent. Ancaman telefon bimbit dipanggil Trojan.AndroidOS.Loapi dan ia menyamar sebagai antivirus penyelesaian atau aplikasi kandungan orang dewasa.

Menurut pakar Keselamatan, keupayaan trojan berbeza dari perlombongan cryptocurrencies untuk memaparkan aliran malar iklan dan pelancaran Penafian serangan service (DDoS), antara lain.

Biasanya, Trojan.AndroidOS.Loapi diedarkan melalui pengiklanan kempen yang melencongkan pengguna ke laman-laman web yang berniat jahat hacker. Sedang dipasang ke dalam sistem, trojan itu cuba untuk mendapatkan hak pentadbir peranti, sentiasa meminta mereka dalam satu bulatan.

Walaupun fakta bahawa ancaman menyemak sama ada peranti berakar atau tidak, Trojan.AndroidOS.Loap tidak menggunakan apa-apa keistimewaan akar. Sekiranya pengguna memberi keistimewaan pentadbir aplikasi berniat jahat, trojan itu menyembunyikan ikon dalam menu atau simulates aktiviti antivirus.

Menurut pengkaji Kaspersky, dipaparkan tingkah laku Trojan.AndroidOS.Loapi biasanya bergantung pada jenis permohonan yang ia masquerades sebagai. Ancaman ini mampu menghalang pengguna daripada membatalkan kebenaran pengurus peranti yang mengunci skrin dan tutup tetingkap Seting pengurus peranti.

Trojan yang jahat itu menerima dari perintah dan kawalan (C & C) pelayan senarai apl yang dapat menimbulkan bahaya dan menggunakannya untuk memantau pemasangan dan pelancaran aplikasi tersebut. Apabila apa-apa aplikasi dipasang atau dilancarkan, trojan itu menunjukkan mesej palsu yang mendakwa bahawa ia telah dikesan malware, meminta pengguna untuk menghapuskannya. Mesej dipaparkan dalam satu bulatan untuk menghalang pengguna daripada panjang sehingga permohonan itu dihapuskan.

Semasa proses pemasangan, Trojan.AndroidOS.Loap menerima dari C & C senarai modul untuk memasang atau mengalih keluar, senarai domain yang bertindak sebagai C & C, senarai simpanan tambahan untuk domain, senarai permohonan “berbahaya”, dan bendera sama ada untuk menyembunyikan ikon aplikasi. Semasa peringkat ketiga proses ini, modul-modul yang perlu dimuat turun dan dimulakan.

Terdapat satu modul iklan yang digunakan untuk sentiasa memaparkan iklan pada peranti, yang juga boleh digunakan untuk membuka URL, cipta pintasan, Tayang pemberitahuan, membuka laman-laman dalam aplikasi rangkaian sosial yang popular (termasuk Facebook, Instagram, V.K), serta sebagai untuk memuat turun dan memasang beberapa aplikasi lain.

Modul SMS boleh melakukan pelbagai operasi manipulasi mesej teks. Berdasarkan C & C arahan, modul ini mampu menghantar Peti Masuk mesej SMS ke server hacker, membalas mesej masuk, menghantar mesej SMS dengan teks tertentu kepada bilangan tertentu, memadam SMS mesej dari peti masuk dan menghantar folder, dan melaksanakan permintaan untuk URL dan menjalankan kod JavaScript yang dinyatakan di halaman yang diterima sebagai jawapan.

Modul merangkak di web ini adalah mampu untuk melanggan pengguna kepada perkhidmatan oleh secara terselindung melaksanakan kod JavaScript di laman web dengan bil WAP, bersama-sama melaksanakan Laman web merangkak. Apabila pembekal menghantar mesej teks yang meminta untuk pengesahan, modul SMS digunakan untuk membalas dengan teks yang diperlukan. Bersama-sama dengan modul iklan, diperhatikan cuba membuka URL unik 28,000 pada peranti tunggal semasa ujikaji 24-jam.

Di samping itu, Trojan.AndroidOS.Loap pakej modul proksi yang membolehkan penggodam Hantar permintaan HTTP dari peranti mangsa melalui pelayan proksi HTTP. Ciri ini membolehkan pencipta perisian berniat jahat untuk mengatur serangan DDoS terhadap sumber-sumber yang dinyatakan atau tukar jenis sambungan Internet pada peranti.

Ada modul lain yang menggunakan versi Android minerd kepada saya untuk cryptocurrency Monero (XMR).

Berdasarkan hakikat bahawa kedua-dua penggunaan ancaman sama p & C alamat IP pelayan, kekeliruan yang sama dan mempunyai cara yang sama untuk mengesan superuser pada peranti, pakar-pakar Kaspersky mencadangkan bahawa trojan Loapi itu mungkin ada kaitan dengan itu (malware) Podec Trojan.AndroidOS.Podec).

“Loapi adalah wakil-wakil yang menarik dari dunia apps Android yang berniat jahat. Pencipta yang telah melaksanakan hampir seluruh spektrum teknik untuk menyerang peranti […]. Hilang benda sahaja adalah perisikan pengguna, tetapi seni bina modular Trojan ini bermakna ia adalah mustahil untuk menambah jenis fungsi ini pada bila-bila masa,” Kaspersky pasukan Negeri.


Leave a Reply

Your email address will not be published. Required fields are marked *