“Loapi” – Novi mobilni trojanac sa višestrukim sposobnostima

U današnjem povezanom svetu, u kojem dominiraju mobilni telefoni, veliki broj korisnika želi da bude onlajn i u toku sa najnovijim informacijama, bilo kada i bilo gde. Za mnoge korisnike je već uobičajeno da budu u kontaktu sa članovima porodice i prijateljima preko društvenih mreža, da konstantno budu u toku sa najnovijim vestima ili da gledaju ocene restorana koje planiraju da posete, a koje su postavljali drugi korisnici. A u slučaju da ih nešto sprečava da se povežu na internet, to može biti izuzetno frustrirajuće za njih.

Zbog ovog novog trenda, mobilni trojan virusi predstavljaju sve veću opasnost za korisnike. Često se događa da korisnik vidi reklamu na internetu, koji ga poziva da preuzme aplikaciju koja bi ga mogla interesovati. Nekoliko dana nakon instalacije, on počinje da sumnja da nešto nije u redu, da se uređaj pregrejava i da radi sporije, ali ne može da svati zbog čega. U tim situacijama, velika je verovatnoća da je uređaj kompromitovan mobilnim trojan virusom koji ga koristi u maliciozne svrhe, kao što su DDoS napadi i plaćanje preko mobilnog telefona. Međutim, prema nedavnom istraživanju koje je sprovela kompanija Kaspersky Lab, mobilni trojan virus nema samo jednu funkciju, već može naštetiti mobilnom uređaju na više načina.

Istraživači iz kompanije Kaspersky Lab identifikovali su novi malver koji ima više različitih modula, koji mu omogućuju da sprovodi gotovo neograničen broj malicioznih aktivnosti, od generisanja kripto valuta do DDoS napada. Zbog modularne arhitekture, napadači mu mogu dodati i nove funkcije. Ovaj neobični i maliciozni softver istraživači su nazvali Loapi.

Loapi se izdvaja od ostalih Android malver programa sa jednom funkcijom, uključujući bankarske trojan viruse, po tome što ima složenu modularnu arhitekturu koja mu omogućuje da sprovodi gotovo neograničen broj aktivnosti na kompromitovanom uređaju.

Sajber kriminalci distribuiraju Loapi trojan virus preko reklamnih kampanja, pod maskom antivirusnih rešenja ili aplikacija za odrasle. Nakon instalacije, aplikacija traži administratorska prava za kontrolu nad uređajem i zatim diskretno pokreće komunikaciju sa komandnim i kontrolnim serverima radi instalacije dodatnih modula. Arhitektura sadrži sledeće module:

  • Adware modul – za agresivno prikazivanje reklama na korisnikovom uređaju,
  • SMS modul – malver koristi ovaj modul kako bi sprovodio brojne operacije preko tekstualnih poruka,
  • Veb-indekser modul – za pretplaćivanje korisnika na usluge koje su podložne dodatnim troškovima, bez njihovog znanja. Ovaj SMS modul će sakrivati poruke od korisnika, odgovarati na poruke po potrebi i zatim ukloniti sve „dokaze“,
  • Proxy modul – omogućuje napadačima da aktiviraju HTTP zahteve u ime uređaja. Ove aktivnosti mogu biti sprovođene u svrhu DDoS napada,
  • Monero „majner“ modul – za generisanje Monero kriptovalute (XMR).

Štaviše, nakon kompromitovanja nije toliko jednostavno izbrisati aplikaciju i povratiti telefon na normalan način rada, budući da Loapi ima sposobnost da se zaštiti od odbrambenih mehanizama uređaja. Čim korisnik pokuša da povuče administratorska prava, malver blokira ekran na uređaju i zatvara prozor. Pored toga, Loapi može od komandnog i kontrolnog servera da dobije spisak aplikacija koje su opasne za njega, kao što su bezbednosna rešenja.

Pored tehnike za samoodbranu, koja je karakteristična za Loapi virus, istraživači iz kompanije Kaspersky Lab takođe su otkrili još nešto interesantno – testiranja na nasumično izabranom mobilnom telefonu ukazala su na činjenicu da je on bilo toliko opterećen da se pregrejavao do te mere da mu se baterija deformisala. Kreatori malvera sigurno ne bi želeli da se ovo dogodi, ali budući da njihova želja za zaradom preovladava, malver je konstantno aktivan na mobilnom uređaju. Međutim, nedostatak pažnje kreatora na optimizaciju malvera dovela je do fizičkih „vektora napada“ i potencijalno ozbiljne štete na uređajima korisnika.

„Loapi je interesantan predstavnik u svetu Android malvera, budući da su njegovi kreatori ubacili gotovo svaku moguću karakteristiku u njegov dizajn. Razlog za to je veoma jednostavan – mnogo je lakše kompromitovati uređaj jednom, a zatim ga koristiti za različite maliciozne aktivnosti, sa ciljem nelegalne zarade. Ono što je iznenađujuće kod ovog malvera jeste da, iako ne može da prouzrokuje direktnu finansijsku štetu tako što će ukrasti podatke sa kreditne kartice, on može jednostavno da uništi telefon. To nije nešto što biste očekivali od Android trojan virusa, čak i od sofisticiranog softvera”, izjavio je Nikita Bučka (Nikita Buchka), bezbednosni stručnjak u kompaniji Kaspersky Lab.

Uzimajući sve ove činjenice u obzir, jednostavno je zaključiti da samo jedno preuzimanje može stvoriti brojne probleme za korisnike. Kako bi pomogla korisnicima da se zaštite od ovih pretnji, kompanija Kaspersky Lab savetuje sledeće:

  • Onemogućiti instalaciju aplikacija sa izvora koji nisu zvanične prodavnice
  • Ažuriranje operativnog sistema kako bi se smanjio broj ranjivosti softvera, kao i mogućnost sprovođenja napada
  • Instalaciju pouzdanog i dokazanog bezbednosnog rešenja kako bi uređaj bio zaštićen od sajber napada