Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan Loapi estrae criptovaluta e danneggia i dispositivi Android

dispositivi mobili  Loapi  trojan   mercoledì, 20 dicembre 2017

I ricercatori di Kaspersky Lab hanno individuato un trojan per dispositivi mobili Android, battezzato Loapi (Trojan.AndroidOS.Loapi), dalla complessa architettura modulare che gli consente di effettuare una molteplicità di attività malevole, tra cui: estrazione di criptovalute, messaggi pubblicitari fraudolenti, attacchi DDoS dai dispositivi infetti.

Loapi viene distribuito principalmente attraverso campagne pubblicitarie malevole. Le vittime vengono indotte a scaricare app in formato APK contenenti il trojan da siti Web controllati dagli attaccanti i cui domini si rifanno a produttori di soluzioni di sicurezza e persino ad un famoso sito di contenuti per adulti. Loapi si nasconde prevalentemente in false app antivirus o app per l’accesso a contenuti per adulti.

Una volta installate sul dispositivo della vittima, le app infette da Loapi richiedono all’utente i privilegi di amministratore. La richiesta viene reiterata fino a che l’utente acconsente. Loapi verifica altresì che il dispositivo non sia già sbloccato mediante rooting ma, al momento, non utilizza i privilegi di root in alcun modo.

Una volta ottenuti i privilegi di amministratore del dispositivo, a seconda del tipo di applicazione da cui sono mascherate, le app malevole nascondono la propria icona nel menu o simulano le attività di un antivirus.

Loapi contrasta attivamente ogni tentativo dell’utente di revocare i privilegi di amministratore bloccando lo schermo del dispositivo e mostrando il messaggio “Phone data will be wiped. Are you sure?” (Tutti i dati del telefono verranno cancellati definitivamente. Sei sicuro?). Inoltre, il trojan controlla costantemente la presenza di app considerate dannose, in particolare soluzioni di sicurezza, incluse in una lista che riceve dai server C&C. Se una di queste app viene installata o lanciata dell’utente, Loapi mostra un falso avviso di rilevazione di malware e chiede all’utente di rimuovere l’app “pericolosa”. Anche questa richiesta viene mostrata ripetutamente fino a che l’utente non accetta.

Loapi presenta un’architettura articolata in tre stadi (vedi immagine). I primi due, il dropper e il payload inserito in un file DEX (file eseguibile Dalvik) con funzioni di controller, sono offuscati. Il terzo livello, non offuscato, è composto da 5 moduli con diverse funzionalità.

Architettura di Loapi

Architettura del trojan Loapi

Il modulo “Ads” viene utilizzato per mostrare messaggi pubblicitari aggressivi sullo schermo del dispositivo e per gonfiare la valutazione di app in maniera fraudolenta. Questo modulo è in grado di compiere le seguenti attività malevole:

  • mostrare annunci pubblicitari (video e banner);
  • aprire URL specifici;
  • creare scorciatoie (app shortcuts) sul dispositivo;
  • mostrare notifiche;
  • aprire pagine di social network, tra cui Facebook, Instagram, VK;
  • scaricare e installare altre app.

Il modulo “SMS” invia periodicamente richieste ai server C&C da cui riceve istruzioni e comandi per compiere le seguenti attività malevole:

  • inviare SMS ai server controllati dagli attaccanti;
  • rispondere a messaggi in entrata secondo specifiche maschere;
  • inviare SMS con testo specifico a numeri specifici;
  • cancellare SMS ricevuti e inviati secondo specifiche maschere;
  • inviare richieste ad URL ed eseguire codice JavaScript specifico nelle pagine ricevute come risposta.

Il modulo “Crawler” viene utilizzato per eseguire di nascosto codice JavaScript su pagine Web allo scopo di iscrivere l’utente a servizi a valore aggiunto (Wap billing).

Il modulo “Proxy” implementa un server proxy HTTP che consente agli attaccanti di inviare richieste HTTP dal dispositivo infetto a specifiche risorse che possono essere fatte oggetto di attacchi DDoS.

Il modulo “Miner” viene utilizzato per effettuare il mining (estrazione) della criptovaluta Monero (XMR).

Durante l’analisi di Loapi, i ricercatori di Kaspersky hanno verificato che, a causa dell’uso intensivo della CPU da parte del modulo “Miner” e del traffico generato, dopo due giorni dall’installazione del malware la batteria del dispositivo utilizzato per i test si è gonfiata fino a deformarne la scocca.

Il post originale di Kaspersky Lab contiene un’analisi più dettagliata di Loapi, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto