Loapi adalah Bentuk Baru dari Malware Android Penambangan Mata Uang

Maraknya Bitcoin, Litecoin, Monero, dan teknologi blockchain lainnya bertepatan dengan peningkatan malware penambangan mata uang, atau aplikasi jahat yang menggunakan perangkat keras perangkat Anda untuk menghasilkan koin digital. Sekarang, malware Android baru ditemukan oleh Sophos dan dijuluki Loapi (dengan nama virus Trojan.AndroidOS.Loapi) telah mengembangkan kepalanya. Ini adalah malware Android pertama dari jenisnya, dan sedang digambarkan sebagai "jack of all trade".

Loapi tidak ada di Google Play Store, dan tidak ada bukti bahwa aplikasi itu pernah terinfeksi di Play Store. Melainkan, disajikan melalui iklan dan aplikasi retak palsu, dan sering menyamar sebagai konten pornografi dan perangkat lunak antivirus.

Sumber: Kaspersky

Loapi, begitu terinstal, secara paksa meminta akses administrator perangkat . Itu juga polling perangkat untuk akses root, tetapi tidak jelas mengapa - sepertinya tidak mengambil keuntungan dari hak akses root. Kemungkinan fungsionalitas yang akan datang dalam pembaruan di masa mendatang.

Malware berusaha untuk mendapatkan akses administrator perangkat. (Sumber: Kaspersky)

Selanjutnya, aplikasi melakukan salah satu dari dua hal: Menyembunyikan pintasan aplikasi dari drawer aplikasi, atau menyamar sebagai aplikasi yang sah. Contoh perilaku yang terakhir ada di tangkapan layar di bawah, tetapi semuanya jauh lebih buruk daripada yang tampak di permukaan. Setelah malware memperoleh akses administrator, malware terhubung ke beberapa server yang dihosting oleh penyerang dan mengunduh modul, atau bagian dari aplikasi yang melakukan tindakan jahat. Modul-modul ini dalam bentuk file .so, yang merupakan versi Linux dari file .dll. Tidak seperti file yang dapat dieksekusi, file-file ini adalah perpustakaan yang berarti bahwa bagian-bagiannya dapat dipanggil kapan saja. Executables memiliki titik awal yang tetap.

Fungsi dari Malware Android Loapi

Pelestarian diri

Pertama dan terpenting, Loapi mempertahankan diri. Ini membatasi pengguna dari mengakses menu administrator perangkat dengan menutupnya setiap kali dibuka dari menu pengaturan, dan mencegah pengguna mencopot pemasangan aplikasi host yang terinfeksi. Terlebih lagi, ini meminta pengguna untuk menghapus aplikasi apa pun pada perangkat yang mungkin menimbulkan ancaman terhadapnya, seperti aplikasi keamanan dan pemindai malware. Jika pengguna tidak menghapus instalannya, prompt akan ditampilkan secara terus menerus sebagai pesan roti panggang.

Sumber: Kaspersky

Periklanan dan Penambangan Monero Cryptocurrency

Loapi menjalankan sejumlah skema iklan yang menghasilkan pendapatan di latar belakang. Peneliti keamanan telah mengobservasinya:

  • Menampilkan iklan video dan spanduk
  • Membuka URL spesifik
  • Membuat pintasan di perangkat
  • Menampilkan notifikasi
  • Membuka halaman di jejaring sosial populer, termasuk Facebook, Instagram, VK
  • Mengunduh dan menginstal aplikasi lain

Itu juga bisa menambang Monero, semacam cryptocurrency. Kenapa Monero? Sederhananya, karena lebih banyak transaksi cryptocurrency tertentu (seperti Bitcoin) diproses, blockchain, yang melacak semua koin yang ada, meningkatkan kesulitan, membuatnya lebih sulit untuk menghasilkan koin baru. Monero tidak terlalu berharga, tetapi kesulitannya cukup rendah sehingga perangkat yang lebih lemah dapat menghasilkannya. Loapi berputar antara sebanyak sepuluh akun berbeda dalam satu kumpulan penambangan Monero.

Aksesibilitas SMS

Loapi memiliki kontrol penuh atas SMS pada perangkat yang terinfeksi, dan ia memiliki kemampuan untuk mengirim SMS ke nomor tingkat premium. Inilah yang bisa dilakukan:

  • Kirim pesan SMS kotak masuk ke server penyerang
  • Membalas pesan yang masuk sesuai dengan topeng yang ditentukan (topeng diterima dari server jauh)
  • Kirim pesan SMS dengan teks yang ditentukan ke nomor yang ditentukan (semua informasi diterima dari server jauh)
  • Hapus pesan SMS dari kotak masuk dan folder terkirim sesuai dengan topeng yang ditentukan (masker diterima dari server jauh)
  • Jalankan permintaan ke URL dan jalankan kode Javascript tertentu di halaman yang diterima sebagai respons (fungsionalitas lawas yang kemudian dipindahkan ke modul terpisah)

Banyak fitur yang saat ini tidak digunakan, tetapi mungkin di masa depan.

Penagihan WAP

Pengecer yang memungkinkan Anda menagih pembelian ke paket telepon Anda menggunakan layanan yang disebut WAP (Wireless Application Protocol). Situs web yang berpartisipasi memungkinkan Anda membeli sesuatu tanpa perlu rekening bank, dan menempelkan tagihan ke tagihan telepon bulanan Anda.

Layanan ini telah disalahgunakan oleh malware di masa lalu untuk melakukan pembayaran ke kontrol situs penyerang, dan Loapi tidak berbeda. Peneliti keamanan di SecureList menemukan perayap web built-in yang mencari layanan-layanan ini secara online, dan pada satu titik, itu membuka 28.000 URL unik dalam periode 24 jam.

DDoS dan Proxy untuk Penyerang

Akhirnya, Loapi dapat membuat proxy untuk penyerang, yang berarti perangkat yang terinfeksi dapat digunakan untuk melakukan serangan DDoS.


Hasil dari Malware Android Loapi

Hal-hal berubah dari buruk menjadi lebih buruk dalam pengujian SecureList terhadap Loapi. Tidak hanya aplikasi yang terinfeksi menempatkan tekanan besar pada perangkat yang menjalankannya, tetapi mereka menimbulkan bahaya keamanan - baterai perangkat uji membengkak akibat panas internal yang tinggi.

Kerusakan yang dihasilkan untuk Nexus 5 setelah Loapi berlari selama dua hari. (Sumber: Kaspersky)

Begini caranya: Berhati-hatilah dengan apa yang Anda unduh, dan hanya unduh aplikasi dari sumber tepercaya seperti Play Store. Tidak ada cara yang lebih baik untuk menghindari malware seperti Loapi.


Sumber: SourceLinks Via: Pixel Spot