Loapi Android Trojan các cuộc tấn công điện thoại di động

Computer Security News

Kaspersky Lab nghiên cứu cảnh báo rằng họ đã tìm thấy một chương trình có tính năng một kiến trúc mô-đun cho phép thực hiện các hoạt động khác nhau của maleficent. Các mối đe dọa của điện thoại di động được gọi là Trojan.AndroidOS.Loapi và nó cải trang như là giải pháp chống vi-rút hoặc các ứng dụng nội dung dành cho người lớn.

Theo các chuyên gia bảo mật, khả năng trojan khác nhau từ khai thác mỏ cho cryptocurrencies để hiển thị các dòng quảng cáo và tung ra các phân phối từ chối dịch vụ (DDoS) tấn công, trong số những người khác.

Thông thường, Trojan.AndroidOS.Loapi được phân phối qua quảng cáo chiến dịch mà chuyển hướng người dùng đến trang web độc hại tin tặc. Đang được cài đặt vào hệ thống, các trojan sẽ cố gắng để đạt được quyền quản trị thiết bị, liên tục yêu cầu họ trong một vòng lặp.

Mặc dù thực tế là mối đe dọa sẽ kiểm tra xem điện thoại là bắt nguồn từ hay không, Trojan.AndroidOS.Loap không sử dụng bất kỳ đặc quyền root. Trong trường hợp người dùng cấp quyền quản trị của các ứng dụng độc hại, trojan hoặc ẩn biểu tượng của nó trong trình đơn hoặc mô phỏng hoạt động chống vi-rút.

Theo các nhà nghiên cứu của Kaspersky, Hiển thị các hành vi của Trojan.AndroidOS.Loapi thường phụ thuộc vào loại ứng dụng masquerades như. Các mối đe dọa có khả năng ngăn chặn người dùng thu hồi quyền truy cập quản lý thiết bị của nó bằng cách khóa màn hình và đóng cửa sổ với các cài đặt trình quản lý thiết bị.

Trojan khó chịu nhận được từ bộ chỉ huy và kiểm soát (C & C) máy chủ một danh sách các ứng dụng mà có thể gây ra một mối nguy hiểm và sử dụng nó để theo dõi việc cài đặt và khởi động của những ứng dụng. Khi một ứng dụng được cài đặt hoặc đưa ra, các trojan Hiển thị một tin nhắn giả tuyên bố rằng nó đã phát hiện phần mềm độc hại, yêu cầu người dùng để xoá nó. Các tin nhắn được hiển thị trong một vòng lặp để ngăn chặn người dùng từ sa thải nó cho đến khi các ứng dụng này sẽ bị xóa.

Trong quá trình cài đặt, Trojan.AndroidOS.Loap nhận được từ C & C danh sách các mô-đun cài đặt hoặc loại bỏ, một danh sách các tên miền mà phục vụ như là C & C, một danh sách bổ sung dự trữ tên miền, danh sách các ứng dụng “nguy hiểm” và một lá cờ để ẩn biểu tượng ứng dụng của nó. Trong giai đoạn thứ ba của quá trình, các mô-đun cần thiết được tải về và khởi tạo.

Đó là một mô-đun quảng cáo được sử dụng để không ngừng hiển thị quảng cáo trên điện thoại cũng có thể được sử dụng để mở URL, tạo các phím tắt, Hiển thị thông báo, mở trang trong các ứng dụng mạng xã hội phổ biến (bao gồm Facebook, Instagram, VK), cũng như để tải xuống và cài đặt một số ứng dụng khác.

Module tin nhắn SMS có thể thực hiện các hoạt động thao tác văn bản thông báo khác nhau. Dựa trên C & C lệnh, các mô-đun có khả năng gửi hộp thư tin nhắn SMS đến máy chủ là tin tặc, trả lời các tin nhắn, gửi tin nhắn SMS với văn bản được chỉ định để xác định số lượng, cách xoá tin nhắn SMS từ hộp thư đến và gửi thư mục, và thực hiện yêu cầu để chạy mã JavaScript được chỉ định trong trang đã nhận được như là phản ứng và URL.

Các mô-đun Crawl trang web có thể đăng ký người sử dụng dịch vụ bằng cách lén thực thi mã JavaScript vào trang web với các thanh toán WAP, cùng với hiệu suất trang web thu thập dữ liệu. Khi các nhà điều hành gửi tin nhắn văn bản yêu cầu xác nhận, tin nhắn SMS mô-đun được sử dụng để trả lời bằng văn bản yêu cầu. Cùng với phân hệ quảng cáo, nó đã được quan sát cố gắng mở 28.000 URL duy nhất trên một thiết bị duy nhất trong một thử nghiệm 24-giờ.

Ngoài ra, Trojan.AndroidOS.Loap gói một mô-đun cho phép hacker gửi yêu cầu HTTP từ thiết bị nạn nhân thông qua một máy chủ proxy HTTP proxy. Tính năng này cho phép những người sáng tạo phần mềm độc hại, để tổ chức các cuộc tấn công DDoS chống lại nguồn tài nguyên đã chỉ định hoặc thay đổi loại kết nối Internet trên thiết bị.

Đó là một mô-đun đó sử dụng các phiên bản Android của minerd với tôi cho cryptocurrency Monero (XMR).

Dựa trên thực tế là cả hai mối đe dọa sử dụng cùng một C & C địa chỉ IP của máy chủ, cùng obfuscation và tính năng tương tự như cách phát hiện siêu người dùng trên thiết bị, các chuyên gia Kaspersky đề nghị Loapi trojan có thể liên quan đến phần mềm độc hại () Podec Trojan.AndroidOS.Podec).

“Loapi là một đại diện thú vị từ thế giới ứng dụng Android độc hại. Người sáng tạo của mình đã thực hiện gần như toàn bộ quang phổ của các kỹ thuật thiết bị tấn công […]. Điều duy nhất còn thiếu là người sử dụng gián điệp, nhưng kiến trúc mô-đun của Trojan này có nghĩa là nó có thể để thêm các loại chức năng này tại bất kỳ thời điểm nào,” Kaspersky đội kỳ.


Leave a Reply

Your email address will not be published. Required fields are marked *