Loapi si distingue dai numerosi malware Android monofunzione – come i trojan bancari o quelli per il mining di crypto valute, ecc. – per via della propria architettura modulare complessa che gli permette di condurre un numero quasi illimitato di azioni sul dispositivo compromesso.
Il trojan Loapi viene distribuito attraverso campagne pubblicitarie fingendosi una soluzione antivirus o un’app per adulti. Una volta installate, le applicazioni chiedono i diritti di amministratore del dispositivo e iniziano a comunicare di nascosto con i server di comando e controllo per installare ulteriori moduli.
L’architettura del trojan include i seguenti moduli:
- Modulo adware – usato per mostrare pubblicità in modo insistente sul dispositivo dell’utente;
- Modulo SMS – usato dal malware per condurre diverse attività attraverso i messaggi di testo;
- Modulo web crawler – usato per iscrivere gli utenti a servizi a pagamento a loro insaputa. Il modulo SMS nasconderà i messaggi all’utente, risponderà se necessario e cancellerà in seguito tutte le “prove”;
- Modulo proxy – consente ai cyber criminali di eseguire richieste http per conto del dispositivo. Queste attività possono supportare attacchi DDoS;
- Modulo per il mining della crypto valuta Monero (XMR).
Oltre a un numero elevato di funzionalità, Loapi ha la capacità di proteggersi: quando l’utente prova a revocare i diritti di amministratore del dispositivo, il malware blocca la schermata del device e chiude la finestra. Oltre a questa tecnica standard di protezione, Loapi può ricevere dal server di comando e controllo un elenco di applicazioni pericolose – nella maggior parte dei casi si tratta di soluzioni di sicurezza che potrebbero rimuovere il malware. Se un’applicazione istallata o attiva è sulla lista, il trojan mostra all’utente un messaggio fasullo che dichiara che è stato trovato un file nocivo e propone all’utente di rimuovere l’applicazione. Il messaggio viene trasmesso in loop, quindi, anche se l’utente rifiuta inizialmente di eliminare l’applicazione, il messaggio viene ripetutamente mostrato fino a quando l’utente non acconsente.
In aggiunta all’approccio difensivo di Loapi, i ricercatori di Kaspersky Lab hanno scoperto un risvolto interessante: i test condotti su uno smartphone selezionato in modo casuale hanno dimostrato che l’attività del malware comporta un carico di lavoro così elevato da far surriscaldare il dispositivo e persino deformarne la batteria. È improbabile che queste conseguenze fossero volute dagli autori del malware, considerando che il loro obiettivo è quello di guadagnare il più possibile dalla sua attività. Tuttavia, la scarsa attenzione prestata all’ottimizzazione del malware ha causato queste conseguenze fisiche inaspettate e potenzialmente pericolose per i dispositivi degli utenti.
“Loapi è un interessante esemplare di malware per Android in quanto gli autori hanno incluso nella sua architettura quasi ogni possibile funzionalità. La ragione è semplice: è molto più facile compromettere un dispositivo una sola volta e quindi usarlo per diverse attività nocive volte a guadagnare denaro illegalmente. Un’insolita conseguenza di questo malware è che, sebbene non possa causare danni finanziari diretti per l’utente rubando i dettagli della sua carta di credito, potrebbe invece causare la distruzione dello smartphone. Non è quello che ci si aspetterebbe da un trojan Android, soprattutto da un esemplare altamente sofisticato”, ha commentato Nikita Buchka, esperto di sicurezza Kaspersky Lab.
Secondo quanto emerso dall’indagine, Loapi potrebbe essere collegato a Trojan.AndroidOS.Podec. Entrambi i trojan, infatti, all’inizio della loro attività raccolgono informazioni simili per il server di comando e controllo e hanno metodi di offuscamento analoghi.
È chiaro che un semplice download può causare gravi conseguenze per gli utenti. Come fare quindi a rimanere al sicuro quando si è circondati da banner pubblicitari e da moltissime app che dichiarano di semplificare la vita degli utenti? Come evitare quelle che contengono trojan mobile? I ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure per proteggere i propri dispositivi e le informazioni personali:
- Disabilitare la possibilità di installare applicazioni da fonti diverse dagli app store ufficiali;
- Aggiornare il sistema operativo del proprio device per ridurre le vulnerabilità del software e il rischio di attacco;
- Installare una soluzione di sicurezza affidabile per proteggere il dispositivo dai cyber attacchi.
