Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan Loapi estrae criptovaluta e danneggia i dispositivi Android

dispositivi mobili  Loapi  trojan   mercoledì, 20 dicembre 2017

I ricercatori di Kaspersky Lab hanno individuato un trojan per dispositivi mobili Android, battezzato Loapi (Trojan.AndroidOS.Loapi), dalla complessa architettura modulare che gli consente di effettuare una molteplicità di attività malevole, tra cui: estrazione di criptovalute, messaggi pubblicitari fraudolenti, attacchi DDoS dai dispositivi infetti.

Loapi viene distribuito principalmente attraverso campagne pubblicitarie malevole. Le vittime vengono indotte a scaricare app in formato APK contenenti il trojan da siti Web controllati dagli attaccanti i cui domini si rifanno a produttori di soluzioni di sicurezza e persino ad un famoso sito di contenuti per adulti. Loapi si nasconde prevalentemente in false app antivirus o app per l’accesso a contenuti per adulti.

Una volta installate sul dispositivo della vittima, le app infette da Loapi richiedono all’utente i privilegi di amministratore. La richiesta viene reiterata fino a che l’utente acconsente. Loapi verifica altresì che il dispositivo non sia già sbloccato mediante rooting ma, al momento, non utilizza i privilegi di root in alcun modo.

Una volta ottenuti i privilegi di amministratore del dispositivo, a seconda del tipo di applicazione da cui sono mascherate, le app malevole nascondono la propria icona nel menu o simulano le attività di un antivirus.

Loapi contrasta attivamente ogni tentativo dell’utente di revocare i privilegi di amministratore bloccando lo schermo del dispositivo e mostrando il messaggio “Phone data will be wiped. Are you sure?” (Tutti i dati del telefono verranno cancellati definitivamente. Sei sicuro?). Inoltre, il trojan controlla costantemente la presenza di app considerate dannose, in particolare soluzioni di sicurezza, incluse in una lista che riceve dai server C&C. Se una di queste app viene installata o lanciata dell’utente, Loapi mostra un falso avviso di rilevazione di malware e chiede all’utente di rimuovere l’app “pericolosa”. Anche questa richiesta viene mostrata ripetutamente fino a che l’utente non accetta.

Loapi presenta un’architettura articolata in tre stadi (vedi immagine). I primi due, il dropper e il payload inserito in un file DEX (file eseguibile Dalvik) con funzioni di controller, sono offuscati. Il terzo livello, non offuscato, è composto da 5 moduli con diverse funzionalità.

Architettura di Loapi

Architettura del trojan Loapi

Il modulo “Ads” viene utilizzato per mostrare messaggi pubblicitari aggressivi sullo schermo del dispositivo e per gonfiare la valutazione di app in maniera fraudolenta. Questo modulo è in grado di compiere le seguenti attività malevole:

  • mostrare annunci pubblicitari (video e banner);
  • aprire URL specifici;
  • creare scorciatoie (app shortcuts) sul dispositivo;
  • mostrare notifiche;
  • aprire pagine di social network, tra cui Facebook, Instagram, VK;
  • scaricare e installare altre app.

Il modulo “SMS” invia periodicamente richieste ai server C&C da cui riceve istruzioni e comandi per compiere le seguenti attività malevole:

  • inviare SMS ai server controllati dagli attaccanti;
  • rispondere a messaggi in entrata secondo specifiche maschere;
  • inviare SMS con testo specifico a numeri specifici;
  • cancellare SMS ricevuti e inviati secondo specifiche maschere;
  • inviare richieste ad URL ed eseguire codice JavaScript specifico nelle pagine ricevute come risposta.

Il modulo “Crawler” viene utilizzato per eseguire di nascosto codice JavaScript su pagine Web allo scopo di iscrivere l’utente a servizi a valore aggiunto (Wap billing).

Il modulo “Proxy” implementa un server proxy HTTP che consente agli attaccanti di inviare richieste HTTP dal dispositivo infetto a specifiche risorse che possono essere fatte oggetto di attacchi DDoS.

Il modulo “Miner” viene utilizzato per effettuare il mining (estrazione) della criptovaluta Monero (XMR).

Durante l’analisi di Loapi, i ricercatori di Kaspersky hanno verificato che, a causa dell’uso intensivo della CPU da parte del modulo “Miner” e del traffico generato, dopo due giorni dall’installazione del malware la batteria del dispositivo utilizzato per i test si è gonfiata fino a deformarne la scocca.

Il post originale di Kaspersky Lab contiene un’analisi più dettagliata di Loapi, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Il trojan Grobios diffuso tramite exploit kit

16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività dell'exploit kit RIG, utilizzato in-the-wild per diffondere il trojan Grobios.Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

4 aprile 2018

I ricercatori di Cisco Talos hanno scoperto due nuove varianti di KevDroid, un trojan per Android inizialmente distribuito in-the-wild mascherato da falsa applicazione antivirus.Leggi tutto