Dai ricercatori di Kaspersky Lab proviene la scoperta di un nuovo malware dalle particolari caratteristiche, ossia dotato di diversi moduli che offrono un numero di funzionalità nocive pressoché illimitato, dal mining di crypto valute agli attacchi DDoS. E data la sua architettura modulare pare possano essere aggiunte ulteriori funzionalità. Proviamo dunque a conoscere meglio Loapi.
Rispetto a un classico malware Android monofunzione, ribadiamo come Loapi abbia un’architettura modulare complessa che gli permette di condurre un numero quasi illimitato di azioni sul dispositivo infettato. La sua distribuzione avviene tramite campagne pubblicitarie dove viene mascherato da soluzione antivirus o da app per adulti. Una volta installate le applicazioni portatrici del trojan, esse chiedono i diritti di amministratore del dispositivo e cominciano a comunicare di nascosto con i server di comando e controllo per installare ulteriori moduli. Secondo quando comunicato dai ricercatori di Kaspersky Lab, i principali moduli di Loapi sono: un modulo adware, usato per mostrare pubblicità in modo insistente sul dispositivo dell’utente; un modulo SMS, usato dal malware per condurre diverse attività attraverso i messaggi di testo; un modulo web crawler, usato per iscrivere gli utenti a servizi a pagamento a loro insaputa (collegandosi al modulo precedente per oscurare tutte le prove di eventuali comunicazioni); un modulo proxy che consente ai cyber criminali di eseguire richieste http per conto del dispositivo, attività che possono supportare attacchi DDoS; un modulo per il mining della crypto valuta Monero.
Loapi ha inoltre la capacità di proteggersi: quando l’utente prova a revocare i diritti di amministratore del dispositivo, il malware blocca la schermata del device e chiude la finestra. Altra particolarità dello schema di difesa di Loapi consiste nel “depistare” l’utente dall’utilizzo di applicazioni per lui pericolose, come soluzione di sicurezza che lo potrebbero rimuovere. In questo caso il trojan mostra all’utente un messaggio fasullo che dichiara che è stato trovato un file nocivo e gli propone di rimuovere l’applicazione. Un messaggio trasmesso in loop che porterà l’utente a eliminare l’applicazione per sfinimento.
Ma c’è di più, un aspetto che va di pari passo con l’intensa attività condotta da questo malware: dai test condotti su uno smartphone selezionato casualmente è emerso che il carico di lavoro del malware è tale da far surriscaldare il dispositivo e persino deformare la batteria. Conseguenze queste, che molto probabilmente gli autori del malware non avevano nemmeno calcolato.
Contestualmente alla scoperta del malware, i ricercatori Kaspersky si sono pronunciati su come agire per proteggere i propri dispositivi e le informazioni personali:
- disabilitare la possibilità di installare applicazioni da fonti diverse dagli app store ufficiali;
- aggiornare il sistema operativo del proprio device per ridurre le vulnerabilità del software e il rischio di attacco;
- installare una soluzione di sicurezza affidabile per proteggere il dispositivo dai cyber attacchi.
Sara Avanzi