Loapi – 木马界的一朵奇葩!

2017 年12 月20日

病毒开发人员不断针对Android设备用户开发出各种令人不安的病毒。我们都知道个人资料被盗用后会出现在黑市上买卖,知道有病毒能利用信用卡盗取资金。但你听说过有让设备物理损坏的木马呢?现在有了,就是这种。

 

用户点击横幅广告并下载假冒反病毒应用或色情应用(这种木马最可能利用的工具),即中了Loapi木马的圈套。安装之后,Loapi会要求管理员权限 – 而且不接受”否”选项;如果拒绝,通知会循环在屏幕上出现,直到不堪其扰的用户最终屈服并点击”确定”。

如果智能手机用户日后试图取消应用的管理员权限,木马会锁定屏幕并关闭设置窗口。如果用户试图下载真正用于保护设备的应用(如真正的反病毒软件,而不是假冒的),Loapi会谎称其是恶意软件,要求用户卸载。如果用户不卸载,Loapi会反复弹出窗口,迫使用户卸载该反病毒应用。

万能的Loapi病毒是如何运作的?
Loapi借此隐身的假冒应用的图标

Loapi采用的是模块化结构,所以可以通过远程服务器的命令即时切换功能,自行下载和安装必要的附加组件。下面让我们一道看看感染了这种新型木马后的一些后果。

1. 不需要的广告

感染了Loapi的智能手机用户将面临铺天盖地的横幅和视频广告。木马中的这个模块还可以下载和安装其他应用、访问链接,并在Facebook、Instagram和VKontakte中打开页面 – 显然这将推动各种评级上升。

2. 付费订阅

木马的另一个模块是使注册用户付费服务。这样的订阅通常需要通过短信进行确认 – 但这也拦不住Loapi。它还有另一个特殊的模块,专用于把短信发送到所需的号码,而且是秘密执行此操作。更重要的是,所有短信(包括传出和传入)都会被立即删除。

3. DDoS攻击

这种木马能把手机变成僵尸,并劫持手机用于对Web资源发起DDoS攻击(分布式拒绝服务攻击)。为此,木马会利用内置的代理服务器,并通过被感染设备发布HTTP请求。

4. 加密货币挖掘

Loapi还能利用智能手机来挖掘Monero(门罗币)。加密货币挖掘活动会使处理器以最大负载长时间运行,结果导致设备过热。我们在研究中发现,测试智能手机在被感染后48小时,电池会因使用过度而膨胀。

5. 下载新模块

这是这种木马最有意思的一点。木马在远程中心的指挥下,可以下载新的模块,即根据其开发者开发的任何新的诈骗策略进行调整。比方说,有一天这种木马可能会摇身一变,成为勒索软件、间谍软件或银行木马。在目前版本的代码中,我们的专家发现了多个尚未部署的功能,显然,这些功能是打算未来进一步的使用。

如何防御Loapi木马

通常预防胜于治疗。为了避免吞下恶意软件的诱饵,请务必遵守一些简单的规则。

  • 只从官方商店安装应用程序。Google Play有专门的团队负责捕捉移动恶意软件。木马确实偶尔也会渗透到官方商店,但发生这种情况的机率远远低于可疑的网站。
  • 禁止安装来自未知来源的应用,以提高安全性。为此,请在设置中,转至安全性,确保未知来源复选框未选中。
  • 不要安装其实并需要的应用。一般来说,安装的应用越少,设备就越安全。
  • 安装一个可靠、成熟的Android反病毒软件并定期扫描设备。即便是免费应用,如基本版卡巴斯基安全软件安卓版,也能为设备提供很好的保护。