By | December 20, 2017

מעבדות קספרסקי חוקרים מזהירים כי מצאו תוכנית זדונית אשר כולל ארכיטקטורה מודולרית המאפשרת ביצוע פעילויות ורעת שונות. האיום ניידים נקרא Trojan.AndroidOS.Loapi והוא זה המוסווה פתרונות אנטי וירוס או יישומי תוכן למבוגרים.

לפי המומחים אבטחה, היכולות טרויאני משתנים בין כריית cryptocurrencies הצגת זרם קבוע של פרסומות, השקה מבוזרים מניעת התקפות שירות (DDoS), בין היתר.

בדרך כלל, Trojan.AndroidOS.Loapi מופץ באמצעות קמפיינים אשר הפניית משתמשים לאתרים זדוניים של ההאקרים. להיות מותקן על המערכת, הסוס הטרויאני מנסה להשיג זכויות מנהל התקן, ברציפות מבקש אותם בתוך לולאה.

למרות העובדה כי האיום בודק אם המכשיר מושרשת או לא, Trojan.AndroidOS.Loap לא משתמש כל הרשאות root. במקרה שהמשתמש מעניק הרשאות admin יישום זדוני, הטרויאני או מסתיר את הסמל שלו בתפריט או מדמה פעילות אנטי-וירוס.

על פי החוקרים קספרסקי, התנהלות Trojan.AndroidOS.Loapi המוצג בדרך כלל תלוי בסוג של יישום שזה זיוף. האיום הוא מסוגל מניעה ממשתמשים מבטל את הרשאותיו מנהל התקן על-ידי סגירת החלון עם הגדרות מנהל התקן ונעילת המסך.

טרויאני מגעיל מקבל הפקודה, שרת הבקרה (C & C) רשימה של אפליקציות אשר עלול להוות סכנה ומשתמש בו כדי לנטר את ההתקנה ואת ההשקה של יישומים אלה. כאשר כזאת אפליקציה מותקן או השיק, הסוס הטרויאני מציג הודעה מזויפת וטען כי זיהה תוכנה זדונית, שמבקשת מהמשתמש כדי למחוק אותו. ההודעה מוצגת בתוך לולאה כדי למנוע מהמשתמש מבטל אותו עד היישום נמחקת.

במהלך תהליך ההתקנה, Trojan.AndroidOS.Loap מקבל C & C רשימות של מודולים להתקין או להסיר, רשימה של תחומים שאינם משמשים C & C, רשימת שמורות נוספות של תחומים, ברשימת היישומים “מסוכן”, ודגל אם יוסתרו סמל היישום שלה. במהלך השלב השלישי של התהליך, המודולים הדרושים שהורדו, לאתחל.

מודול של פרסומת אשר משמש להצגת כל הזמן מודעות על המכשיר, אשר יכול לשמש גם כדי לפתוח את כתובות ה-Url, ליצור קיצורי דרך, הצג הודעות, לפתוח דפי יישומי הרשת החברתית הפופולרית (כולל בפייסבוק, Instagram, VK), כמו גם בתור כדי להוריד ולהתקין כמה יישומים אחרים.

מודול ה-SMS יכול לבצע פעולות של מניפולציה הודעת טקסט שונים. בהתבסס על C & C, פקודות, המודול הוא מסוגל לשלוח את תיבת הדואר הנכנס הודעות SMS לשרת של ההאקרים, מענה להודעות נכנסות, שליחת הודעות SMS עם טקסט מוגדר למספר שצוין, מחיקת הודעות SMS מתיבת הדואר הנכנס ושלח תיקייה ולאחר ביצוע בקשות ל- URL והפעלת קוד JavaScript שצוין בעמוד כשפחות התגובה.

מודול הסריקה האינטרנט הוא היכולת הרשמה למשתמשים שירותים על ידי בחשאי הפעלת קוד JavaScript בדפי אינטרנט עם חיוב WAP, לצד ביצוע דף אינטרנט זוחל. כאשר המפעילים לשלוח הודעות טקסט מבקש אישור, מודול ה-SMS הוא מועסק כדי להשיב עם הטקסט הנדרש. לצד המודול לספירה, נצפתה מנסה לפתוח כתובות Url ייחודית 28,000 בהתקן יחיד במהלך ניסוי 24 שעות ביממה.

בנוסף, Trojan.AndroidOS.Loap חבילות מודול ה-proxy אשר מאפשר האקרים לשלוח בקשות HTTP מהתקנים הקורבנות באמצעות שרת ה-proxy של HTTP. תכונה זו מאפשרת יוצרי תוכנות זדוניות כדי לארגן התקפות DDoS נגד משאבים שצוין או כדי לשנות את סוג החיבור לאינטרנט במכשיר.

יש מודול נוסף אשר משתמשת גרסת אנדרואיד של minerd שלי על cryptocurrency Monero (XMR).

מבוסס על העובדה כי איומים שימוש באותו C & כתובת ה-IP של שרת C, האפלה אותו, והן תכונה דומה דרכי זיהוי משתמש על המכשיר, המומחים קספרסקי מציע כי הסוס הטרויאני Loapi קשורות (תוכנות זדוניות Podec Trojan.AndroidOS.Podec).

“Loapi הוא נציג מעניינות מהעולם של זדונית לאנדרואיד. יוצריה יישמו את כמעט את כל קשת של טכניקות עבור התקני ההתקפה […]. הדבר היחיד שחסר הוא משתמש ריגול, אבל הארכיטקטורה מודולרית של סוס טרויאני זה שאומר שזה אפשרי להוסיף סוג זה של פונקציונליות בכל עת,” הברית צוות קספרסקי.

Leave a Reply

Your email address will not be published. Required fields are marked *