«Лаборатория Касперского» изучила сложную вредоносную программу, атакующую владельцев мобильных устройств под управлением операционной системы Android.
Зловред носит имя Trojan.AndroidOS.Loapi. Он имеет модульную архитектуру и может выполнять широкий спектр операций, включая майнинг криптовалюты, проведение DDoS-атак, демонстрацию рекламы и пр.
Трояны семейства Loapi распространяются с помощью рекламных кампаний, а загрузка зловреда осуществляется путём перенаправления пользователя на сайты злоумышленников. При этом вредоносные программы маскируются под мобильные защитные решения и приложения «для взрослых».
После проникновения на устройство троян запрашивает права администратора. В случае отказа зловред повторно выводит окно запроса — и так до тех пор, пока пользователь не согласится. Loapi может имитировать деятельность антивируса или скрываться в системе.
Вредоносная программа может использовать самые разнообразные модули. Так, рекламный компонент используется для агрессивного показа рекламы на инфицированном устройстве, а также для скрытой накрутки сайтов и аккаунтов в социальных сетях.
Майнер-модуль использует Android-реализацию minerd для добычи Monero (XMR), а SMS-модуль служит для различных манипуляций с текстовыми сообщениями.
Ещё один компонент создаёт прокси-сервер, который позволяет злоумышленникам выполнять HTTP запросы от имени устройства: подобные действия могут производиться в том числе и для организации DDoS-атак.
Веб-краулер служит для скрытого исполнения JavaScript-кода на страницах WAP-биллинга и оформления на пользователя платных подписок. При этом зловред может обойти механизм подтверждения подписки: SMS-модуль скроет сообщение от пользователя, ответит на него нужным образом и затем удалит все следы.
Горячие темы