卡巴斯基实验室最近发现了一款新型的安卓木马病毒Loapi,并将其称为木马界的“万事通”。这来源于Loapi拥有一个复杂的模块化体系结构,这意味着它可以进行各种恶意活动:挖掘加密货币、显示恶意广告、启动DDoS攻击等等。
根据卡巴斯基实验室的研究分析,Loapi主要包括以下几大功能:
门罗币挖矿;安装代理服务器以转发流量;在通知区域注入广告;在其他应用程序中显示广告;在浏览器中打开的网页中显示广告;下载并安装其他应用程序;启动DDoS攻击;与手机的短信功能互动;抓取网页(最常用于给受害者订阅付费短信服务);以及更多……
其中,最糟糕的就是Loapi拥有的门罗币挖矿模块。如果受害者没有将其及时将Loapi从手机中删除,它很可能会手机造成物理损坏。因为,Loapi的挖矿模块会利用手机资源进行门罗币挖掘,这将导致手机的元器件过热和过度疲劳,最终引起电池膨胀、外壳变形,甚至更坏的结果。
研究人员认为,Loapi似乎是从2015年发现的安卓木马病毒Podec发展而来的。因为,Loapi使用的C&C服务器IP地址与Podec之前使用的IP地址相匹配。
Loapi目前正通过恶意广告诱使受害者点击,并将受害者重定向到第三方应用程序商店下载恶意应用。卡巴斯基实验室发现了20多款这样的应用,它们通常伪装成移动防病毒应用或与成人内容相关的应用。
恶意应用在完成安装后,会尝试获取设备管理员权限。它采用了一种典型的方法,如果受害者不同意授予权限,则无法正常使用或者浏览想要看到的内容。权限请求弹窗会一直持续不断的弹出,直到受害者同意授权为止。
此外,Loapi还被发现会检查手机是否进行过ROOT,但并未被发现使用ROOT权限。研究人员认为,这可能是它准备在未来的某个新模块中使用。
卡巴斯基实验室指出,Loapi还具备一个防“降权”功能。如果Loapi检测到受害者试图通过设置(Settings)窗口来取消它的设备管理员权限时,Loapi会关闭手机的设置窗口。因此,如果受害者想要卸载写着恶意应用,则需要在进入手机的安全模式下进行。
文章来源:卡巴斯基