(Roma, 18 dicembre 2017) – I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware molto interessante dotato di diversi moduli che offrono un numero di funzionalita’ nocive pressoche’ illimitato – dal mining di crypto valute agli attacchi DDoS. Inoltre, grazie alla sua architettura modulare, possono essere aggiunte ulteriori funzionalita’. Questo software nocivo insolito e potente si chiama Loapi.
Loapiu’ si distingue dai numerosi malware Android monofunzione – come i trojan bancari o quelli per il mining di crypto valute, ecc. – per via della propria architettura modulare complessa che gli permette di condurre un numero quasi illimitato di azioni sul dispositivo compromesso.
Il trojan Loapiu’ viene distribuito attraverso campagne pubblicitarie fingendosi una soluzione antivirus o un’app per adulti. Una volta installate, le applicazioni chiedono i diritti di amministratore del dispositivo e iniziano a comunicare di nascosto con i server di comando e controllo per installare ulteriori moduli.
L’architettura del trojan include i seguenti moduli:
• Modulo adware – usato per mostrare pubblicita’ in modo insistente sul dispositivo dell’utente;
• Modulo SMS – usato dal malware per condurre diverse attivita’ attraverso i messaggi di testo;
• Modulo web crawler – usato per iscrivere gli utenti a servizi a pagamento a loro insaputa. Il modulo SMS nascondera’ i messaggi all’utente, rispondera’ se necessario e cancellera’ in seguito tutte le ‘prove – ;
• Modulo proxy – consente ai cyber criminali di eseguire richieste http per conto del dispositivo. Queste attivita’ possono supportare attacchi DDoS;
• Modulo per il mining della crypto valuta Monero (XMR).
Oltre a un numero elevato di funzionalita’, Loapiu’ ha la capacita’ di proteggersi: quando l’utente prova a revocare i diritti di amministratore del dispositivo, il malware blocca la schermata del device e chiude la finestra. Oltre a questa tecnica standard di protezione, Loapiu’ puo’ ricevere dal server di comando e controllo un elenco di applicazioni pericolose – nella maggior parte dei casi si tratta di soluzioni di sicurezza che potrebbero rimuovere il malware. Se un’applicazione istallata o attiva e’ sulla lista, il trojan mostra all’utente un messaggio fasullo che dichiara che e’ stato trovato un file nocivo e propone all’utente di rimuovere l’applicazione. Il messaggio viene trasmesso in loop, quindi, anche se l’utente rifiuta inizialmente di eliminare l’applicazione, il messaggio viene ripetutamente mostrato fino a quando l’utente non acconsente.
In aggiunta all’approccio difensivo di Loapi, i ricercatori di Kaspersky Lab hanno scoperto un risvolto interessante: i test condotti su uno smartphone selezionato in modo casuale hanno dimostrato che l’attivita’ del malware comporta un carico di lavoro cosi’ elevato da far surriscaldare il dispositivo e persino deformarne la batteria. E’ improbabile che queste conseguenze fossero volute dagli autori del malware, considerando che il loro obiettivo e’ quello di guadagnare il piu’ possibile dalla sua attivita’. Tuttavia, la scarsa attenzione prestata all’ottimizzazione del malware ha causato queste conseguenze fisiche inaspettate e potenzialmente pericolose per i dispositivi degli utenti.
‘Loapiu’ e’ un interessante esemplare di malware per Android in quanto gli autori hanno incluso nella sua architettura quasi ogni possibile funzionalita’. La ragione e’ semplice: e’ molto piu’ facile compromettere un dispositivo una sola volta e quindi usarlo per diverse attivita’ nocive volte a guadagnare denaro illegalmente. Un’insolita conseguenza di questo malware e’ che, sebbene non possa causare danni finanziari diretti per l’utente rubando i dettagli della sua carta di credito, potrebbe invece causare la distruzione dello smartphone. Non e’ quello che ci si aspetterebbe da un trojan Android, soprattutto da un esemplare altamente sofisticato – , ha commentato Nikita Buchka, esperto di sicurezza Kaspersky Lab.
Secondo quanto emerso dall’indagine, Loapiu’ potrebbe essere collegato a Trojan.AndroidOS.Podec. Entrambi i trojan, infatti, all’inizio della loro attivita’ raccolgono informazioni simili per il server di comando e controllo e hanno metodi di offuscamento analoghi.
E’ chiaro che un semplice download puo’ causare gravi conseguenze per gli utenti. Come fare quindi a rimanere al sicuro quando si e’ circondati da banner pubblicitari e da moltissime app che dichiarano di semplificare la vita degli utenti? Come evitare quelle che contengono trojan mobile? I ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure per proteggere i propri dispositivi e le informazioni personali:
• Disabilitare la possibilita’ di installare applicazioni da fonti diverse dagli app store ufficiali;
• Aggiornare il sistema operativo del proprio device per ridurre le vulnerabilita’ del software e il rischio di attacco;
• Installare una soluzione di sicurezza affidabile per proteggere il dispositivo dai cyber attacchi.
E’ possibile avere maggiori informazioni sul trojan Loapiu’ su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab e’ un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attivita’. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Piu’ di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere cio’ che e’ per loro piu’ importante. Per ulteriori informazioni: www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)