卡巴斯基實驗室發現一款新型功能強大的惡意軟件,可進行加密貨幣挖礦、DDoS攻擊等惡意活動,更為令人驚詫的是,它甚至能造成安卓手機的電池鼓脹,兩天的測試之后竟然弄壞了測試用的安卓手機。
該惡意軟件被命名為“Loapi”,其模塊化架構的復雜程度,令卡巴斯基實驗室的研究人員直呼該惡意軟件是“萬能博士”,且此架構與他們之前見過的任何惡意軟件都不相同。該惡意軟件含有廣告模塊、短信模塊、網絡爬蟲模塊、代理模塊和加密貨幣Monero挖礦模塊。同時,Loapi在保護自身上也非常激進。
Loapi是惡意安卓App世界中一個非常“有意思”的代表。其創建者幾乎實現了設備攻擊的全部技術:讓用戶訂閱付費服務,向任意號碼發送短信,從顯示廣告中產生流量并賺錢,利用設備的計算能力挖礦加密貨幣,還有以機主的名義在網上從事各種活動。唯一缺少的功能是用戶監視,但該木馬的模塊化架構意味著,此類功能可以隨時添加。
惡意軟件架構
Loapi的創建者,可能與2015年策劃了安卓惡意軟件Podec的網絡暴徒是同一批。研究人員發現,Loapi通常偽裝成流行反病毒解決方案甚至著名黃色站點的App,混入第三方應用商店中。
惡意文件被下載并安裝后,該App利用彈出窗口獲取設備管理員權限。卡巴斯基演示了所謂的“安全應用”要求用戶激活管理員權限的例子。獲取到管理員權限后,該惡意App不是隱藏自身圖標,就是假裝執行“安全應用”該做的事,比如啟動病毒掃描。
Loapi惡意軟件模塊
其中一個模塊用于濫發廣告,打開各種URL——包括流行社交網絡中的頁面,以及顯示視頻廣告和橫幅。
代理模塊可用于發起DDoS攻擊,挖礦模塊則會強制安卓設備挖掘Monero加密貨幣。
另一個模塊專注操縱短信,利用短消息與攻擊者的命令與控制服務器(C&C)通聯。該模塊還會刪除收件箱和已發送文件夾中的短信,讓用戶對設備與C&C服務器的通聯信息一無所覺。
還有一個模塊與網絡爬蟲有關,使用隱藏JavaScript腳本給用戶訂閱各種服務。即便訂閱操作需要短信驗證,Loapi也會為機主代勞。研究人員表示,在24小時的實驗中,該模塊與廣告模塊一起,在一臺設備上打開了約2.8萬個不同URL。
Loapi激進的自我保護
說到自我保護,Loapi積極阻止任何試圖撤銷設備管理員權限的嘗試,包括從C&C服務器接收可能威脅到該惡意軟件的App列表。如果這種App被安裝或啟動了,Loapi會顯示虛假消息,宣稱檢測到“惡意軟件”,要求用戶將該App卸載掉。受害者將被該彈出消息淹沒,除非選擇卸載。
虛假信息
這條消息會循環顯示,這樣一來,即便用戶不同意卸載,不斷顯示的消息也會讓用戶最終點頭,刪除掉可能威脅到該惡意軟件的應用。
想要徹底清除Loapi,用戶需要以安全模式啟動。否則,該惡意軟件會繼續鎖定設置,讓用戶無法停用管理員權限。
2天內毀掉了一臺安卓手機
研究人員展示了分析該惡意軟件時使用的安卓手機。2天的測試過后,手機完全被毀壞。
由于挖礦模塊和所產生流量的頻繁加載,電池發生了鼓脹,手機外殼都已經變形。
京公網安備 11010502049343號