Novo Mobile Trojan Loapi: os cibercriminosos se enriquecem discretamente às custas dos usuários

Imagine que você veja um banner de anúncio, te convidando a baixar uma aplicação que lhe interessa. Vários dias após a instalação, você começa a suspeitar que algo está errado – seu dispositivo está aquecendo e está funcionando devagar, mas você não consegue descobrir o motivo.

Muito provavelmente, seu dispositivo foi comprometido por um trojan móvel, que está sendo usado com propósitos maliciosos – ataques de negação de serviço (DDoS), cobranças indevidas, etc. Mas quantas funções prejudiciais podem ser implementadas em um cavalo de Tróia? Muitas, segundo a recente descoberta dos especialistas da Kaspersky Lab.

Os pesquisadores da Kaspersky Lab identificaram um novo e intrigante malware móvel com vários módulos, o que permite um número quase infinito de recursos maliciosos – desde a mineração de moeda criptográfica até ataques DDoS. Devido à sua arquitetura modular, ainda podem ser adicionadas mais funções. Este incomum e poderoso software malicioso é chamado de Loapi.

Ele se destaca entre os vários códigos maliciosos para Android que possuem apenas uma função, incluindo trojans bancários, trojans de mineração criptográfica, etc., porque possui funções singulares e uma arquitetura modular complexa que lhe permite realizar ações quase ilimitadas em um dispositivo comprometido.

O Trojan Loapi está sendo disseminado por campanhas publicitárias, disfarçado como soluções antivírus ou de aplicativos para adultos. Uma vez instalados, os aplicativos solicitam direitos de administrador no dispositivo e, em seguida, iniciam discretamente comunicações com servidores de comando e controle para instalações de módulos adicionais. A arquitetura inclui os seguintes módulos:

• Módulo Adware – usado para a exibição agressiva de publicidade no dispositivo do usuário;
• Módulo SMS – usado pelo malware para executar várias operações com mensagens de texto
• Módulo de rastreador da Web – usado para cadastrar usuários em serviços pagos sem que eles saibam. O módulo SMS esconde as mensagens do usuário, responde-as conforme necessário e, em seguida, remove todas as "evidências";
• Módulo Proxy – permite que os invasores executem solicitações HTTP em nome do dispositivo. Essas ações podem ser realizadas para ataques DDoS;
• Módulo minerador de Monero – usado para minerar a criptomoeda Monero (XMR).

Além disso, uma vez comprometido, não é fácil excluir o aplicativo e retornar seu dispositivo ao modo de operação normal – o Loapi tem a capacidade de se auto proteger. Assim que você tentar revogar os direitos de administrador do malware, ele irá bloquear a tela do dispositivo e fechar a janela. Além disso, o Loapi pode receber uma lista de aplicativos que podem tentar desinstalá-lo, vinda dos servidores de comando e controle – muitas vezes são soluções de segurança, que pretendem remover o malware. Se um aplicativo instalado ou em execução estiver na lista, o Trojan mostra uma mensagem falsa dizendo que um software mal-intencionado foi encontrado e que oferece ao usuário a chance de remover o aplicativo. A mensagem é mostrada em um loop, portanto, mesmo se você se recusar a excluir o aplicativo no início, a mensagem será exibida novamente até você finalmente concordar.

Além dessa abordagem de autodefesa, a pesquisa da Kaspersky Lab também mostrou um ponto interessante: os testes em um smartphone selecionado aleatoriamente demonstraram que o malware cria uma carga de trabalho tão pesada em um dispositivo infectado, que ele chega a aquecer muito a ponto de deformar a bateria. Os autores do malware não teriam desejado que isso acontecesse, pois querem a todo custo dinheiro e por isso manter o malware em funcionamento. Mas a falta de atenção à otimização do malware levou a este inesperado "vetor de ataque" físico e, possivelmente, danos sérios aos dispositivos do usuário.

"Loapi é um representante interessante do mundo do malware para Android porque seus autores incorporaram quase todas as características possíveis em seu design. A razão por trás disso é simples – é muito mais fácil comprometer um dispositivo uma vez e depois usá-lo para diferentes tipos de atividades maliciosas, destinadas a ganhar dinheiro ilegal. O risco surpreendentemente inesperado que este malware traz é que, embora não possa causar danos financeiros diretos ao usuário, roubando os dados do cartão de crédito, ele pode simplesmente destruir o telefone. Isso não é algo que você esperaria de um Trojan Android, mesmo um sofisticado”,observa Nikita Buchka, especialista em segurança da Kaspersky Lab.

Levando tudo isso em consideração, é bastante claro que apenas um simples download  pode criar muitos problemas para os usuários. Mas como ficar seguro quando os banners de anúncios estão em todo lugar e há muitas aplicações que afirmam facilitar sua vida? Como você pode evitar aquele que traz um trojan móvel? Os pesquisadores da Kaspersky Lab recomendam adotar as seguintes medidas:

• Desativar a capacidade de instalar aplicativos de fontes diferentes das lojas de aplicativos oficiais;
• Manter a versão do sistema operacional do seu dispositivo atualizada para reduzir vulnerabilidades no software e reduzir o risco de ataque;
• Instale uma solução de segurança para proteger seu dispositivo de ataques cibernéticos como este.

Saiba mais sobre o Trojan Loapi no Securelist.com.