卡巴斯基實驗室最近發現了一款新型的安卓木馬病毒Loapi,并將其稱為木馬界的“萬事通”。這來源于Loapi擁有一個復雜的模塊化體系結構,這意味著它可以進行各種惡意活動:挖掘加密貨幣、顯示惡意廣告、啟動DDoS攻擊等等。
根據卡巴斯基實驗室的研究分析,Loapi主要包括以下幾大功能:
門羅幣挖礦;
安裝代理服務器以轉發流量;
在通知區域注入廣告;
在其他應用程序中顯示廣告;
在瀏覽器中打開的網頁中顯示廣告;
下載并安裝其他應用程序;
啟動DDoS攻擊;
與手機的短信功能互動;
抓取網頁(最常用于給受害者訂閱付費短信服務);
以及更多……
其中,最糟糕的就是Loapi擁有的門羅幣挖礦模塊。如果受害者沒有及時將Loapi從手機中刪除,它很可能會造成手機物理損壞。因為,Loapi的挖礦模塊會利用手機資源進行門羅幣挖掘,這將導致手機的元器件過熱和過度疲勞,最終引起電池膨脹、外殼變形,甚至更壞的結果。
研究人員認為,Loapi似乎是從2015年發現的安卓木馬病毒Podec發展而來的。因為,Loapi使用的C&C服務器IP地址與Podec之前使用的IP地址相匹配。
Loapi目前正通過惡意廣告誘使受害者點擊,并將受害者重定向到第三方應用程序商店下載惡意應用。卡巴斯基實驗室發現了20多款這樣的應用,它們通常偽裝成移動防病毒應用或與成人內容相關的應用。
惡意應用在完成安裝后,會嘗試獲取設備管理員權限。它采用了一種典型的方法,如果受害者不同意授予權限,則無法正常使用或者瀏覽想要看到的內容。權限請求彈窗會一直持續不斷的彈出,直到受害者同意授權為止。
此外,Loapi還被發現會檢查手機是否進行過ROOT,但并未被發現使用ROOT權限。研究人員認為,這可能是它準備在未來的某個新模塊中使用。
卡巴斯基實驗室指出,Loapi還具備一個防“降權”功能。如果Loapi檢測到受害者試圖通過設置(Settings)窗口來取消它的設備管理員權限時,Loapi會關閉手機的設置窗口。因此,如果受害者想要卸載寫著惡意應用,則需要在進入手機的安全模式下進行。
京公網安備 11010502049343號