Els investigadors de seguretat de la signatura russa de ciberseguretat "Kaspersky Lab" tenen descobert una nova varietat de programari maliciós dirigit als telèfons intel·ligents Android, que es troba a les aplicacions antivirus i porno falses.
Anomenat Loapi, el nou troià Android és capaç de realitzar una gran quantitat d'activitats malicioses, des de molestar als usuaris amb anuncis constants, minant criptomonedes, redirigint trànsit web, llançant atacs DDoS fins a descarregar i instal·lar altres aplicacions. Loapi té una arquitectura modular complicada que li permet realitzar moltes activitats malicioses.
La el malware pot realitzar tantes altres activitats malicioses alhora que poden explotar un telèfon fins al punt que en tan sols dos dies després de la infecció pot fer que la bateria del telèfon surti de la coberta. Per analitzar una mostra de Loapi, els investigadors van realitzar una prova en un Telèfon intel·ligent d'Android durant 2 dies i es va assenyalar que, a causa de la càrrega constant causada pel mòdul de mineria i el trànsit generat, la bateria va protegir-se i deformar la coberta del telèfon.
Segons els investigadors, Loapi, que podria haver estat creat pels mateixos ciberdelinqüents responsables del 2015 Programari maliciós per a Android Podec, es distribueix en botigues d'aplicacions de tercers i anuncis en línia. Normalment es disfressen d’aplicacions per a “solucions antivirus populars i fins i tot per a un famós lloc porno”.
Descrit pels investigadors com un "avantatge de tots els comerços", aquest Trojan.AndroidOS.Loapi també lluita agressivament per protegir-se. Després de descarregar i instal·lar els fitxers maliciosos, l'aplicació obté permisos d'administrador del dispositiu mitjançant finestres emergents. Si l'usuari intenta eliminar aquests permisos, l'aplicació maliciosa bloqueja la pantalla i tanca la finestra amb la configuració del gestor de dispositius.
Després d’adquirir privilegis d’administrador, l’aplicació maliciosa amaga la seva icona al menú o simula diverses activitats antivirus, en funció del tipus d’aplicació que es faci mascar.
El programari maliciós es comunica amb els servidors d’ordres i control específics del mòdul (C&C) i rep una llista d’aplicacions que representen un perill. Aquesta llista s’utilitza per controlar la instal·lació i el llançament d’aquestes aplicacions perilloses. Si s’instal·la o s’inicia una de les aplicacions, el troià mostra un missatge fals que afirma que ha detectat algun programa maliciós i, per descomptat, demana a l’usuari que el suprimeixi. L’usuari rebrà correu brossa amb un flux sense fi de finestres emergents fins que finalment l’usuari accepti i suprimeixi l’aplicació.
Per desfer-se de Loapi, els usuaris hauran d’arrencar en mode segur.
