Android-Malware Loapi: Ausgefeilt und kann Gerät killen

Sicherheitsforscher sind auf einen besonders fiesen Trojaner aus der Loapi-Familie gestoßen. Dieser kombiniert eine Reihe bekannter Malwaretechniken und hat das Testgerät der Forscher (eher ungewollt) durch Mining-Aktivitäten zerstört.


Anzeige

Der Fund wurde unter dem Titel Jack of all trades von Kaspersky auf securelist.org vorgestellt. Im Rahmen von Scans wurde die Malware Trojan.AndroidOS.Loap in Android-Apps gefunden. Der Trojaner fällt durch seine modulare Struktur auf, über die er fast alle bekannten Aktivitäten: Mining von Crypto-Geld, einblenden von Werbung (Ads), ausführen von DDoS-Angriffen, versenden von Premium-SMS etc. ausführen kann.

Der Infektionsweg

Infizierte Apps mit Trojanern aus der Loapi-Familie werden über Werbekampagnen verteilt. Die Nutzer werden auf infizierte Webseiten umgeleitet und dann erfolgt der Download der Apps mit dem Trojaner. Die Sicherheitsforscher haben mehr als 20 solcher Ressourcen gefunden, wobei sich die Domains auf populäre Antivirus-Lösungen oder sogar eine berühmte Pornoseite beziehen. Das nachfolgende Bild zeigt, dass Loapi sich hauptsächlich hinter Antivirus-Lösungen oder Apps mit Erwachsenen-Inhalte versteckt:

Loapi-Trojaner
(Quelle: Kaspersky)

Ablauf der Infektion

Ist die Installation abgeschlossen, versucht die App Geräteadministratorberechtigungen zu erhalten und fragt in einer Schleife solange nach, bis der Benutzer zustimmt.

Geräte-Administrator (Quelle: Kaspersky)

Die Malware Trojan.AndroidOS.Loapi prüft auch, ob das Gerät gerootet ist, verwendet aber nie nachträglich Root-Privilegien. Die Kasperky-Forscher gehen davon aus, dass dies in Zukunft in einem neuen Modul implementiert wird. Sobald die App über Admin-Privilegien verfügt, versteckt sie das Icon im Menü oder simuliert verschiedene Antivirus-Aktivitäten.

Fake-Aktivitäten
(Quelle: Kaspersky)

Die App blockiert aggressiv alle Versuche, die Geräte-Administrator-Privilegien wieder zu entziehen. Wenn der Benutzer versucht, diese Berechtigungen zu entziehen, sperrt die bösartige Anwendung den Bildschirm und schließt das Fenster mit den Einstellungen des Gerätemanagers.


Anzeige

Neben einer ziemlich standardmäßigen Technik zur Verhinderung der Deinstallation fanden die Sicherheitsforscher auch ein interessantes Feature im Selbstschutzmechanismus. Der Trojaner ist in der Lage, von seinem C&C-Server eine Liste von Anwendungen zu erhalten, die eine Gefahr darstellen. Diese Liste wird verwendet, um die Installation und den Start dieser gefährlichen Anwendungen zu überwachen. Wenn eine der Anwendungen installiert oder gestartet wird, zeigt der Trojaner eine gefälschte Nachricht an, in der er behauptet, dass er Malware entdeckt hat, und fordert den Benutzer natürlich auf, diese zu löschen. Diese Nachricht wird in einer Schleife angezeigt, so dass selbst wenn der Benutzer das Angebot ablehnt, die Nachricht immer wieder angezeigt wird, bis der Benutzer schließlich zustimmt und die Anwendung löscht.

Die Schadfunktionen

Im Trojaner gibt es ein Modul zum aggressiven Einblenden von Werbung, zum Senden kostenpflichtiger Premium-SMS, zum Durchsuchen des Web, um kostenpflichtige WAP-Dienste zu abonnieren, ein Proxy, um DDoS-Angriffe vom Gerät auszuführen sowie einen Monero-Kryptominer.

Die Kasperky-Spezialisten kommen zum Schluss, dass die Malware-Autoren fast das gesamte Spektrum der Angriffstechniken für Geräte implementiert haben. Der Trojaner kann kostenpflichtiger Dienste abonnieren, SMS-Nachrichten an beliebige Nummern versenden, Traffic generieren und Geld mit der Anzeige von Werbung verdienen, die Rechenleistung eines Geräts nutzen, um Krypto-Währungen zu schürfen, sowie eine Vielzahl von Aktionen im Internet für den Nutzer/Gerät durchführen. Das einzige, was fehlt, ist die Benutzerspionage, aber die modulare Architektur dieses Trojaners macht es möglich, diese Art von Funktionalität jederzeit hinzuzufügen.

Interessante Beobachtung zum Abschluss: Das Android-Gerät der Sicherheitsforscher, auf welchem die Apps mit dem Trojaner installiert waren, lief durch das Krypto-Mining heiß. Nach 2 Tagen blähte sich das Akku auf und zerstörte das Gerät – etwas, was die Malware-Autoren wohl eher nicht bedacht hatten.

Ähnliche Artikel:
Windows 10: Hello-Anmeldung ausgehebelt?
Mozilla ärgert Firefox-Nutzer mit 'Mr. Robot'-Add-On-Installation
Windows 10: Unsicherer Passwort-Manager-App eingeschleust
Fortinets VPN-FortiClient verrät Anmeldedaten
Sicherheitsupdate für iCloud für Windows


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Android-Malware Loapi: Ausgefeilt und kann Gerät killen

  1. Lukas Sagl sagt:

    Wenn man allerdings "Unbekannte Herkunft" deaktiviert hat (was es standardmäßig ist) kommt es ja gar nicht bis zur "Geräteadministratorberechtigung" oder?

  2. Herr IngoW sagt:

    Kann man das beseitigen oder muß man das Gerät kommplett zurücksetzen.

    • Günter Born sagt:

      Ich denke, wenn man ein Factory-Image installieren kann, ist der Trojaner weg. Aber welcher normale Nutzer kann das?

      • Fraglich ist auch ob der Normal User mitbekommt das er einen Schädling mit sich herum trägt.
        Wenn man liest wie viele Leute sie wie viel Quatsch an Apps herunterladen bei dem sich dann anschließend ab Update xx.02 herausstellt das die App mehr über Kontakte und den User verrät als welche Optionen die App dem User bringt.

Schreibe einen Kommentar zu Lukas Sagl Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.