Loapi est une nouvelle forme de malware Android minier

La montée en puissance de Bitcoin, Litecoin, Monero et d’autres technologies de la blockchain a coïncidé avec une augmentation des logiciels malveillants d’extraction de devises ou d’applications malveillantes utilisant le matériel de vos appareils pour générer de la monnaie numérique. Maintenant, un nouveau malware Android découvert par Sophos et baptisé Loapi (avec le nom de virus Trojan.AndroidOS.Loapi) a fait son apparition. C'est le premier malware Android de ce type, et il est décrit comme un «homme à tout faire».

Loapi n'est pas sur le Google Play Store, et rien ne prouve qu'il ait déjà infecté des applications sur le Play Store. Au lieu de cela, il est diffusé via des publicités et de fausses applications craquées, et se fait souvent passer pour du contenu pornographique et un logiciel antivirus.

Source: Kaspersky

Loapi, une fois installé, demande de force à un accès administrateur de périphérique . Il interroge également les périphériques pour obtenir un accès root, mais on ne comprend pas pourquoi - il ne semble pas tirer parti des privilèges root. C'est probablement la fonctionnalité qui viendra dans une future mise à jour.

Le logiciel malveillant essayant d'obtenir un accès administrateur de périphérique. (Source: Kaspersky)

Ensuite, l’application effectue l’une des deux choses suivantes: elle masque le raccourci de l’application dans le tiroir des applications ou se présente comme une application légitime. Un exemple de ce dernier comportement est présenté dans les captures d'écran ci-dessous, mais les choses sont bien pires qu'il n'y paraît à première vue. Une fois que le logiciel malveillant obtient l’accès administrateur, il se connecte à plusieurs serveurs hébergés par les attaquants et télécharge des modules ou des parties de l’application qui exécutent des actions malveillantes. Ces modules se présentent sous la forme de fichiers .so, qui constituent la version Linux des fichiers .dll. Contrairement aux fichiers exécutables, ces fichiers sont des bibliothèques, ce qui signifie que leurs sections peuvent être appelées à tout moment. Les exécutables ont un point de départ fixe.

Fonctionnalité du Loware Android Malware

Conservation de soi

Avant tout, Loapi se conserve. Il empêche les utilisateurs d'accéder au menu administrateur du périphérique en le fermant chaque fois qu'il est ouvert à partir du menu des paramètres, et empêche les utilisateurs de désinstaller l'application hôte infectée. De plus, il invite les utilisateurs à désinstaller toutes les applications de l'appareil susceptibles de constituer une menace, telles que les applications de sécurité et les analyseurs de programmes malveillants. Si l'utilisateur ne les désinstalle pas, l'invite s'affiche continuellement sous forme de message de pain grillé.

Source: Kaspersky

Publicités et extraction de cryptomonnaies Monero

Loapi gère un certain nombre de programmes de publicité générant des revenus en arrière-plan. Les chercheurs en sécurité l'ont observé:

  • Affichage d'annonces vidéo et de bannières
  • Ouverture d'URL spécifiques
  • Création de raccourcis sur l'appareil
  • Affichage des notifications
  • Pages d'ouverture sur les réseaux sociaux populaires tels que Facebook, Instagram, VK
  • Téléchargement et installation d'autres applications

Il peut également exploiter Monero, une sorte de crypto-monnaie. Pourquoi Monero? Pour le dire simplement, au fur et à mesure que plus de transactions d’une crypto-monnaie donnée (telle que Bitcoin) sont traitées, la blockchain, qui garde une trace de toutes les pièces existantes, augmente la difficulté et rend plus difficile la génération de nouvelles pièces. Monero n'est pas particulièrement utile, mais la difficulté est suffisamment basse pour que des appareils plus faibles puissent les générer. Loapi effectue la rotation entre jusqu'à dix comptes différents dans un même pool minier Monero.

Accessibilités SMS

Loapi a le plein contrôle des SMS sur les appareils infectés et peut envoyer des SMS à des numéros surtaxés. Voici ce qu'il peut faire:

  • Envoyer des messages SMS dans la boîte de réception au serveur des attaquants
  • Répondre aux messages entrants en fonction de masques spécifiés (les masques sont reçus d'un serveur distant)
  • Envoyer des SMS avec le texte spécifié au numéro spécifié (toutes les informations sont reçues d'un serveur distant)
  • Supprimer les messages SMS de la boîte de réception et du dossier envoyé en fonction des masques spécifiés (les masques sont reçus d'un serveur distant)
  • Exécuter les requêtes sur l'URL et exécuter le code Javascript spécifié dans la page reçue en réponse (fonctionnalité héritée qui a ensuite été déplacée vers un module séparé)

Beaucoup de fonctionnalités ne sont pas utilisées actuellement, mais pourraient l'être à l'avenir.

Facturation WAP

Les détaillants qui vous permettent de facturer des achats sur votre forfait téléphonique utilisent un service appelé WAP (Wireless Application Protocol). Les sites Web participants vous permettent d’acheter quelque chose sans avoir besoin d’un compte bancaire et d’en coller les frais à votre facture téléphonique mensuelle.

Ce service a été utilisé par des logiciels malveillants dans le passé pour effectuer des paiements aux sites contrôlés par les attaquants, et Loapi n’est pas différent. Les chercheurs en sécurité de SecureList ont découvert un robot Web intégré conçu pour rechercher ces services en ligne. À un moment donné, il a ouvert 28 000 URL uniques en 24 heures.

DDoS et proxy pour les attaquants

Enfin, Loapi peut créer un proxy pour les attaquants, ce qui signifie que les périphériques infectés peuvent être utilisés pour perpétrer une attaque DDoS.


Résultats du Malware Android Loapi

Les tests de Loapi par SecureList ont empiré. Non seulement les applications infectées sollicitaient énormément les appareils qui les utilisaient, mais elles présentaient également un risque pour la sécurité: les batteries des appareils de test étaient gonflées à cause de la chaleur interne élevée.

Les dommages causés à un Nexus 5 après le Loapi ont duré deux jours. (Source: Kaspersky)

Voici ce qu'il faut retenir: faites attention à ce que vous téléchargez et ne téléchargez que des applications de sources fiables, telles que le Play Store. Il n'y a pas de meilleur moyen d'éviter les logiciels malveillants comme Loapi.


Source: SourceLinks Via: Pixel Spot