功能强大的恶意软件Loapi 竟然可摧毁安卓手机

2017-12-20 10:53:59 nana 安全牛

卡巴斯基实验室发现一款新型功能强大的恶意软件,可进行加密货币挖矿、DDoS攻击等恶意活动,更为令人惊诧的是,它甚至能造成安卓手机的电池鼓胀,两天的测试之后竟然弄坏了测试用的安卓手机。



该恶意软件被命名为“Loapi”,其模块化架构的复杂程度,令卡巴斯基实验室的研究人员直呼该恶意软件是“万能博士”,且此架构与他们之前见过的任何恶意软件都不相同。该恶意软件含有广告模块、短信模块、网络爬虫模块、代理模块和加密货币Monero挖矿模块。同时,Loapi在保护自身上也非常激进。


Loapi是恶意安卓App世界中一个非常“有意思”的代表。其创建者几乎实现了设备攻击的全部技术:让用户订阅付费服务,向任意号码发送短信,从显示广告中产生流量并赚钱,利用设备的计算能力挖矿加密货币,还有以机主的名义在网上从事各种活动。唯一缺少的功能是用户监视,但该木马的模块化架构意味着,此类功能可以随时添加。


恶意软件架构


Loapi的创建者,可能与2015年策划了安卓恶意软件Podec的网络暴徒是同一批。研究人员发现,Loapi通常伪装成流行反病毒解决方案甚至著名黄色站点的App,混入第三方应用商店中。



恶意文件被下载并安装后,该App利用弹出窗口获取设备管理员权限。卡巴斯基演示了所谓的“安全应用”要求用户激活管理员权限的例子。获取到管理员权限后,该恶意App不是隐藏自身图标,就是假装执行“安全应用”该做的事,比如启动病毒扫描。



Loapi恶意软件模块


其中一个模块用于滥发广告,打开各种URL——包括流行社交网络中的页面,以及显示视频广告和横幅。


代理模块可用于发起DDoS攻击,挖矿模块则会强制安卓设备挖掘Monero加密货币。


另一个模块专注操纵短信,利用短消息与攻击者的命令与控制服务器(C&C)通联。该模块还会删除收件箱和已发送文件夹中的短信,让用户对设备与C&C服务器的通联信息一无所觉。


还有一个模块与网络爬虫有关,使用隐藏JavaScript脚本给用户订阅各种服务。即便订阅操作需要短信验证,Loapi也会为机主代劳。研究人员表示,在24小时的实验中,该模块与广告模块一起,在一台设备上打开了约2.8万个不同URL。


Loapi激进的自我保护


说到自我保护,Loapi积极阻止任何试图撤销设备管理员权限的尝试,包括从C&C服务器接收可能威胁到该恶意软件的App列表。如果这种App被安装或启动了,Loapi会显示虚假消息,宣称检测到“恶意软件”,要求用户将该App卸载掉。受害者将被该弹出消息淹没,除非选择卸载。


虚假信息


这条消息会循环显示,这样一来,即便用户不同意卸载,不断显示的消息也会让用户最终点头,删除掉可能威胁到该恶意软件的应用。


想要彻底清除Loapi,用户需要以安全模式启动。否则,该恶意软件会继续锁定设置,让用户无法停用管理员权限。


2天内毁掉了一台安卓手机


研究人员展示了分析该恶意软件时使用的安卓手机。2天的测试过后,手机完全被毁坏。



由于挖矿模块和所产生流量的频繁加载,电池发生了鼓胀,手机外壳都已经变形。


相关阅读

Kelihos荣升恶意软件之王

这种安卓恶意软件能悄悄Root掉你的手机安装应用

安卓继承计算机端口开放功能 智能手机到处都是后门