Loapi es una nueva forma de malware de Android para minería de divisas

El aumento de Bitcoin, Litecoin, Monero y otras tecnologías de blockchain ha coincidido con un aumento en el malware de extracción de divisas o aplicaciones maliciosas que utilizan el hardware de sus dispositivos para generar monedas digitales. Ahora, un nuevo malware de Android descubierto por Sophos y apodado Loapi (con el nombre de virus Trojan.AndroidOS.Loapi) ha despertado su cabeza. Es el primer malware de Android de este tipo, y se describe como un "gato de todos los oficios".

Loapi no está en Google Play Store, y no hay evidencia de que alguna vez haya infectado aplicaciones en Play Store. Más bien, se sirve a través de anuncios y aplicaciones falsas, y a menudo se hace pasar por contenido de pornografía y software antivirus.

Fuente: Kaspersky

Loapi, una vez instalado, solicita a la fuerza el acceso del administrador del dispositivo . También sondea los dispositivos para el acceso de root, pero no está claro por qué, no parece aprovechar los privilegios de root. Es probable que la funcionalidad venga en una futura actualización.

El malware que intenta obtener acceso de administrador del dispositivo. (Fuente: Kaspersky)

A continuación, la aplicación hace una de dos cosas: oculta el acceso directo de la aplicación del cajón de aplicaciones o se presenta como una aplicación legítima. Un ejemplo de este último comportamiento está en las capturas de pantalla a continuación, pero las cosas son mucho peores de lo que parecen en la superficie. Una vez que el malware obtiene acceso de administrador, se conecta a múltiples servidores alojados por los atacantes y descarga módulos o partes de la aplicación que ejecutan acciones maliciosas. Estos módulos tienen la forma de archivos .so, que son la versión de Linux de los archivos .dll. A diferencia de los archivos ejecutables, estos archivos son bibliotecas, lo que significa que se pueden llamar secciones de ellos en cualquier momento. Los ejecutables tienen un punto de partida fijo.

Funcionalidad del malware de Android Loapi

Autoconservación

En primer lugar, Loapi se conserva a sí mismo. Restringe a los usuarios el acceso al menú del administrador del dispositivo cerrándolo cada vez que se abre desde el menú de configuración y evita que los usuarios desinstalen la aplicación host infectada. Además, solicita a los usuarios que desinstalen cualquier aplicación en el dispositivo que pueda representar una amenaza, como las aplicaciones de seguridad y los escáneres de malware. Si el usuario no los desinstala, el mensaje se muestra continuamente como un mensaje tostado.

Fuente: Kaspersky

Anuncios y minería de criptomonedas Monero

Loapi ejecuta una serie de esquemas publicitarios que generan ingresos en segundo plano. Los investigadores de seguridad lo han observado:

  • Mostrar anuncios de video y banners
  • Abrir URL específicas
  • Crear accesos directos en el dispositivo
  • Mostrando notificaciones
  • Abrir páginas en redes sociales populares, como Facebook, Instagram, VK
  • Descargar e instalar otras aplicaciones

También puede extraer Monero, una especie de criptomoneda. Por que Monero? En pocas palabras, a medida que se procesan más transacciones de una criptomoneda dada (como Bitcoin), la cadena de bloques, que realiza un seguimiento de todas las monedas existentes, aumenta la dificultad, lo que dificulta la generación de nuevas monedas. Monero no es particularmente valioso, pero la dificultad es lo suficientemente baja como para que los dispositivos más débiles puedan generarlos. Loapi rota entre hasta diez cuentas diferentes en un grupo de minería de Monero.

Accesibilidades por SMS

Loapi tiene control total sobre SMS en dispositivos infectados, y tiene la capacidad de enviar mensajes de texto a números con tarifas especiales. Esto es lo que puede hacer:

  • Enviar mensajes SMS de la bandeja de entrada al servidor de los atacantes
  • Responder a los mensajes entrantes de acuerdo con las máscaras especificadas (las máscaras se reciben de un servidor remoto)
  • Enviar mensajes SMS con el texto especificado al número especificado (toda la información se recibe de un servidor remoto)
  • Elimine los mensajes SMS de la bandeja de entrada y la carpeta enviada de acuerdo con las máscaras especificadas (las máscaras se reciben de un servidor remoto)
  • Ejecute solicitudes a URL y ejecute el código Javascript especificado en la página recibida como respuesta (funcionalidad heredada que luego se trasladó a un módulo separado)

Muchas de las funciones no están actualmente en uso, pero podrían estar en el futuro.

Facturación WAP

Los minoristas que le permiten facturar compras a su plan telefónico utilizan un servicio llamado WAP (Protocolo de aplicación inalámbrica). Los sitios web participantes le permiten comprar algo sin la necesidad de una cuenta bancaria y fijar el cargo a su factura telefónica mensual.

Este servicio ha sido maltratado por malware en el pasado para realizar pagos a los sitios que controlan los atacantes, y Loapi no es diferente. Los investigadores de seguridad de SecureList encontraron un rastreador web integrado que busca estos servicios en línea y, en un momento, abrió 28, 000 URL únicas en un período de 24 horas.

DDoS y Proxy para atacantes

Finalmente, Loapi puede crear un proxy para los atacantes, lo que significa que los dispositivos infectados pueden usarse para perpetrar un ataque DDoS.


Resultados del malware Loapi para Android

Las cosas fueron de mal en peor en las pruebas de SecureList de Loapi. Las aplicaciones infectadas no solo pusieron una gran presión en los dispositivos que las ejecutaban, sino que representaban un peligro para la seguridad: las baterías de los dispositivos de prueba se hincharon como resultado del alto calor interno.

El daño resultante a un Nexus 5 después de que el Loapi corriera durante dos días. (Fuente: Kaspersky)

Aquí está la conclusión: tenga cuidado con lo que descarga, y solo descargue aplicaciones de fuentes confiables como Play Store. No hay mejor manera de evitar malware como Loapi.


Fuente: SourceLinks Vía: Pixel Spot