Loapi เป็นมัลแวร์ Android สำหรับการแลกเปลี่ยนสกุลเงินรูปแบบใหม่

การเพิ่มขึ้นของ Bitcoin, Litecoin, Monero และเทคโนโลยี blockchain อื่น ๆ นั้นสอดคล้องกับการเพิ่มขึ้นของมัลแวร์การขุดสกุลเงินหรือแอพที่เป็นอันตรายที่ใช้ฮาร์ดแวร์ของอุปกรณ์ของคุณเพื่อสร้างเหรียญดิจิทัล ตอนนี้มัลแวร์ Android ตัวใหม่ที่ค้นพบโดย Sophos และขนานนาม Loapi (ด้วยชื่อไวรัส Trojan.AndroidOS.Loapi) ได้เลี้ยงหัว มันเป็นมัลแวร์ Android รุ่นแรกและมันถูกอธิบายว่าเป็น“ แจ็คของการซื้อขายทั้งหมด”

Loapi ไม่ได้อยู่ใน Google Play Store และไม่มีหลักฐานว่าเป็นแอปที่เคยติดเชื้อใน Play Store แต่เป็นการแสดงผ่านโฆษณาและแอปปลอมแตกและมักจะปลอมแปลงเป็นเนื้อหาลามกอนาจารและซอฟต์แวร์ป้องกันไวรัส

ที่มา: Kaspersky

Loapi เมื่อติดตั้งแล้วจะบังคับให้พร้อมใช้งานสำหรับ การเข้าถึงของผู้ดูแลระบบ อุปกรณ์ นอกจากนี้ยังโพลอุปกรณ์สำหรับการเข้าถึงรูท แต่ก็ไม่ชัดเจนว่าทำไม - ดูเหมือนจะไม่ใช้ประโยชน์จากสิทธิ์รูท เป็นไปได้ว่าฟังก์ชั่นที่จะมาในการอัพเดตในอนาคต

มัลแวร์ที่พยายามเข้าถึงผู้ดูแลระบบอุปกรณ์ (ที่มา: Kaspersky)

ถัดไปแอปพลิเคชันทำหนึ่งในสองสิ่ง: ซ่อนทั้งทางลัดแอพจากลิ้นชักแอพหรือโพสเป็นแอพพลิเคชั่นที่ถูกกฎหมาย ตัวอย่างของพฤติกรรมหลังในภาพหน้าจอด้านล่าง แต่ทุกอย่างเลวร้ายยิ่งกว่าที่ปรากฏบนพื้นผิว เมื่อมัลแวร์เข้าถึงการเข้าถึงของผู้ดูแลระบบแล้วมันจะเชื่อมต่อกับเซิร์ฟเวอร์หลายเครื่องที่โฮสต์โดยผู้โจมตีและดาวน์โหลดโมดูลหรือส่วนต่าง ๆ ของแอปพลิเคชันที่ดำเนินการที่เป็นอันตราย โมดูลเหล่านี้อยู่ในรูปแบบของ ไฟล์. so ซึ่งเป็นไฟล์. dll รุ่น Linux ซึ่งแตกต่างจากไฟล์ที่เรียกใช้งานได้ไฟล์เหล่านี้คือไลบรารีซึ่งหมายความว่าสามารถเรียกใช้ส่วนต่างๆได้ตลอดเวลา Executables มีจุดเริ่มต้นที่แน่นอน

ฟังก์ชั่นการทำงานของมัลแวร์ Loapi Android

การดูแลรักษาตัวเอง

แรกและสำคัญที่สุด Loapi รักษาตัวเอง มัน จำกัด ผู้ใช้จากการเข้าถึง เมนูผู้ดูแลระบบอุปกรณ์ โดยการปิดเมื่อใดก็ตามที่เปิดจากเมนูการตั้งค่าและป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งแอปโฮสต์ที่ติดเชื้อ ยิ่งไปกว่านั้นยังแจ้งให้ผู้ใช้ถอนการติดตั้งแอปพลิเคชันใด ๆ บนอุปกรณ์ที่อาจเป็นภัยคุกคามต่อแอพพลิเคชั่นความปลอดภัยและสแกนเนอร์มัลแวร์ หากผู้ใช้ ไม่ ถอนการติดตั้งพวกเขาจะแสดงข้อความต่อเนื่องว่าเป็นขนมปังปิ้ง

ที่มา: Kaspersky

โฆษณาและการขุด Monrypt Cryptocurrency

Loapi รันแผนการโฆษณาจำนวนมากที่สร้างรายได้ในเบื้องหลัง นักวิจัยด้านความปลอดภัยสังเกตว่า:

  • การแสดงโฆษณาวิดีโอและแบนเนอร์
  • การเปิด URL ที่เฉพาะเจาะจง
  • การสร้างทางลัดบนอุปกรณ์
  • แสดงการแจ้งเตือน
  • การเปิดหน้าบนเครือข่ายโซเชียลยอดนิยมรวมถึง Facebook, Instagram, VK
  • การดาวน์โหลดและติดตั้งแอพพลิเคชั่นอื่น

นอกจากนี้ยังสามารถขุด Monero ซึ่งเป็นสกุลเงินดิจิตอล ทำไมต้อง Monero เมื่อต้องการประมวลผลธุรกรรมของ cryptocurrency ที่กำหนด (เช่น Bitcoin) เพิ่มขึ้น blockchain ซึ่งคอยติดตามเหรียญทั้งหมดที่มีอยู่เพิ่มความยากทำให้ยากต่อการสร้างเหรียญใหม่ Monero ไม่ได้มีค่าโดยเฉพาะอย่างยิ่ง แต่ความยากลำบากต่ำพอที่อุปกรณ์ที่อ่อนแอสามารถสร้างได้ Loapi หมุนระหว่างบัญชีที่แตกต่างกันมากถึงสิบบัญชีในกลุ่มการขุด Monero เดียว

การเข้าถึง SMS

Loapi มีการควบคุม SMS บนอุปกรณ์ที่ติดเชื้ออย่างสมบูรณ์และมีความสามารถในการส่งข้อความตัวเลขอัตราพิเศษ นี่คือสิ่งที่สามารถทำได้:

  • ส่งข้อความ SMS ของกล่องจดหมายไปยังเซิร์ฟเวอร์ของผู้โจมตี
  • ตอบกลับข้อความขาเข้าตามมาสก์ที่ระบุ (ได้รับมาสก์จากเซิร์ฟเวอร์ระยะไกล)
  • ส่งข้อความ SMS พร้อมข้อความที่ระบุไปยังหมายเลขที่ระบุ (ข้อมูลทั้งหมดได้รับจากเซิร์ฟเวอร์ระยะไกล)
  • ลบข้อความ SMS จากกล่องจดหมายเข้าและโฟลเดอร์ที่ส่งตามรูปแบบที่ระบุ (ได้รับมาสก์จากเซิร์ฟเวอร์ระยะไกล)
  • ดำเนินการร้องขอ URL และเรียกใช้รหัส Javascript ที่ระบุในหน้าที่ได้รับเป็นการตอบสนอง (ฟังก์ชั่นดั้งเดิมที่ถูกย้ายในภายหลังไปยังโมดูลแยกต่างหาก)

คุณลักษณะหลายอย่างไม่ได้ใช้งานในปัจจุบัน แต่อาจเป็นในอนาคต

การเรียกเก็บเงิน WAP

ผู้ค้าปลีกที่อนุญาตให้คุณเรียกเก็บเงินค่าซื้อสินค้าในแผนโทรศัพท์ของคุณใช้บริการที่เรียกว่า WAP (Wireless Application Protocol) เว็บไซต์ที่เข้าร่วมให้คุณซื้อบางอย่างโดยไม่จำเป็นต้องมีบัญชีธนาคารและคิดค่าใช้จ่ายตามค่าโทรศัพท์รายเดือนของคุณ

บริการนี้ถูกมัลแวร์ถูกทำร้ายในอดีตเพื่อชำระเงินให้กับผู้ควบคุมไซต์ที่โจมตีและ Loapi ไม่แตกต่างกัน นักวิจัยด้านความปลอดภัยที่ SecureList พบโปรแกรมตรวจสอบเว็บในตัวที่สร้างขึ้นเพื่อค้นหาบริการเหล่านี้ทางออนไลน์และเมื่อถึงจุดหนึ่งก็เปิด URL ที่ไม่ซ้ำกัน 28, 000 แห่งในระยะเวลา 24 ชั่วโมง

DDoS และ Proxy สำหรับ Attackers

ในที่สุด Loapi สามารถสร้างพร็อกซีสำหรับผู้โจมตีซึ่งหมายถึงอุปกรณ์ที่ติดเชื้อสามารถใช้ในการโจมตี DDoS ได้


ผลลัพธ์ของมัลแวร์ Loapi Android

ทุกอย่างเปลี่ยนไปจากแย่ไปจนแย่ลงในการทดสอบ Loapi ของ SecureList แอปพลิเคชันที่ติดไวรัสไม่เพียงสร้างความกดดันอย่างมากให้กับอุปกรณ์ที่ใช้งานพวกเขา แต่พวกเขายังก่อให้เกิดอันตรายด้านความปลอดภัย - แบตเตอรี่ของอุปกรณ์ทดสอบขยายตัวเนื่องจากความร้อนภายในสูง

ความเสียหายที่เกิดขึ้นกับ Nexus 5 หลังจาก Loapi วิ่งไปสองวัน (ที่มา: Kaspersky)

นี่คือสิ่งที่ต้องระวัง: ระวังสิ่งที่คุณดาวน์โหลดและดาวน์โหลดเฉพาะแอพพลิเคชั่นจากแหล่งที่เชื่อถือได้เช่น Play Store ไม่มีวิธีที่ดีกว่าในการหลีกเลี่ยงมัลแวร์เช่น Loapi


ที่มา: SourceLinks ผ่าน: Pixel Spot