Loapi هو شكل جديد من البرامج الضارة التي تعمل بنظام Android-Mining

تزامن صعود Bitcoin و Litecoin و Monero وغيرها من تقنيات blockchain مع زيادة البرمجيات الخبيثة لاستخراج العملات أو التطبيقات الضارة التي تستخدم أجهزة أجهزتك لإنشاء العملات الرقمية. الآن ، قامت برمجيات خبيثة جديدة على نظام Android اكتشفتها Sophos وأطلق عليها اسم Loapi (يحمل اسم الفيروس Trojan.AndroidOS.Loapi). إنه أول برنامج ضار من نوع Android ، ويتم وصفه على أنه "جاك لجميع المهن".

لا يوجد Loapi في متجر Google Play ، ولا يوجد دليل على أنه تطبيقات مصابة في متجر Play. بدلاً من ذلك ، يتم تقديمه من خلال الإعلانات والتطبيقات المتشققة المزيفة ، وغالبًا ما تتنكر كمحتوى إباحي وبرنامج مكافحة فيروسات.

المصدر: كاسبرسكي

Loapi ، بمجرد تثبيته ، يطالب بالقوة بالوصول إلى مسؤول الجهاز . يستقصي أيضًا الأجهزة للوصول إلى الجذر ، ولكن ليس من الواضح السبب - لا يبدو أنه يستفيد من امتيازات الجذر. من المحتمل أن تأتي وظيفة في التحديث في المستقبل.

البرامج الضارة التي تحاول الوصول إلى مسؤول الجهاز. (المصدر: كاسبرسكي)

بعد ذلك ، يقوم التطبيق بأحد أمرين: إما أن يخفي اختصار التطبيق من درج التطبيق ، أو يطرح كتطبيق شرعي. مثال على السلوك الأخير في لقطات الشاشة أدناه ، لكن الأمور أسوأ بكثير مما تبدو على السطح. بمجرد أن تحصل البرمجيات الخبيثة على حق وصول المسؤول ، فإنها تتصل بخوادم متعددة يستضيفها المهاجمون ووحدات التنزيل أو أجزاء من التطبيق تنفذ إجراءات ضارة. هذه الوحدات في شكل ملفات .so ، والتي هي إصدار Linux من ملفات .dll. على عكس الملفات القابلة للتنفيذ ، فإن هذه الملفات عبارة عن مكتبات بمعنى أنه يمكن استدعاء أقسام منها في أي وقت. التنفيذيين لديهم نقطة انطلاق ثابتة.

وظيفة من البرمجيات الخبيثة الروبوت لوابي

المحافظة على الذات

أولاً وقبل كل شيء ، يحافظ لوابي على نفسه. يقيد المستخدمين من الوصول إلى قائمة مسؤول الجهاز عن طريق إغلاقه عند فتحه من قائمة الإعدادات ، ويمنع المستخدمين من إلغاء تثبيت التطبيق المضيف المصاب. علاوة على ذلك ، فإنه يطالب المستخدمين بإلغاء تثبيت أي تطبيقات على الجهاز قد تشكل تهديدًا لها ، مثل تطبيقات الأمان والماسحات الضوئية الضارة. إذا لم يقم المستخدم بإلغاء تثبيتها ، فسيظهر الموجه باستمرار كرسالة توست.

المصدر: كاسبرسكي

إعلانات و Monero Cryptocurrency التعدين

تدير Loapi عددًا من مخططات الإعلانات التي تحقق إيرادات في الخلفية. وقد لاحظ الباحثون الأمن ذلك:

  • عرض إعلانات الفيديو واللافتات
  • فتح عناوين URL محددة
  • إنشاء اختصارات على الجهاز
  • عرض الإخطارات
  • فتح صفحات على الشبكات الاجتماعية الشهيرة ، بما في ذلك Facebook و Instagram و VK
  • تنزيل وتثبيت التطبيقات الأخرى

ويمكن أيضا الألغام Monero ، وهو نوع من العملة المشفرة. لماذا مونيرو؟ وببساطة ، فمع معالجة المزيد من معاملات العملة المشفرة (مثل Bitcoin) ، فإن blockchain ، التي تتعقب جميع العملات الموجودة ، تزيد من الصعوبة ، مما يجعل من الصعب إنشاء عملات جديدة. Monero ليس ذا قيمة خاصة ، ولكن الصعوبة منخفضة بدرجة كافية بحيث يمكن للأجهزة الأضعف توليدها. تقوم Loapi بالتناوب بين ما يصل إلى عشرة حسابات مختلفة في تجمع واحد للتعدين Monero.

إمكانيات الرسائل القصيرة

تتمتع Loapi بالتحكم الكامل في الرسائل النصية القصيرة (SMS) على الأجهزة المصابة ، ولديها القدرة على كتابة أرقام ذات سعر ممتاز إليك ما يمكن القيام به:

  • إرسال رسائل SMS الوارد إلى خادم المهاجمين
  • الرد على الرسائل الواردة وفقًا للأقنعة المحددة (يتم استلام الأقنعة من خادم بعيد)
  • إرسال رسائل SMS مع النص المحدد إلى الرقم المحدد (يتم تلقي جميع المعلومات من خادم بعيد)
  • حذف رسائل SMS من البريد الوارد والمجلد المرسل وفقًا للأقنعة المحددة (يتم استلام الأقنعة من خادم بعيد)
  • تنفيذ طلبات عنوان URL وتشغيل شفرة Javascript المحددة في الصفحة المستلمة كرد (وظيفة قديمة تم نقلها لاحقًا إلى وحدة نمطية منفصلة)

العديد من الميزات ليست قيد الاستخدام حاليًا ، ولكن يمكن أن تكون في المستقبل.

فواتير WAP

يستخدم تجار التجزئة الذين يسمحون لك بفوترة المشتريات على خطة هاتفك خدمة تسمى WAP (بروتوكول التطبيق اللاسلكي). تتيح لك مواقع الويب المشاركة شراء شيء ما دون الحاجة إلى حساب مصرفي ، وتحميل الرسوم على فاتورة هاتفك الشهرية.

لقد تم إساءة استخدام هذه الخدمة من قِبل البرامج الضارة في الماضي لإجراء مدفوعات لمواقع سيطرة المهاجمين ، ولا يختلف Loapi. وجد باحثو الأمن في SecureList برنامج زاحف ويب مدمجًا يبحث عن هذه الخدمات عبر الإنترنت ، وعند نقطة واحدة ، فتح 28000 عنوان URL فريدًا في غضون 24 ساعة.

DDoS و Proxy للمهاجمين

أخيرًا ، يمكن لـ Loapi إنشاء وكيل للمهاجمين ، مما يعني أنه يمكن استخدام الأجهزة المصابة لارتكاب هجوم DDoS.


نتائج Loapi Android Malware

سارت الأمور من سيء إلى أسوأ في اختبار SecureList لـ Loapi. لم تضع التطبيقات المصابة ضغطًا كبيرًا على الأجهزة التي تديرها فحسب ، بل إنها تشكل أيضًا خطرًا على السلامة - حيث أصبحت بطاريات أجهزة الاختبار منتفخة نتيجة للحرارة الداخلية العالية.

ركض الأضرار التي لحقت Nexus 5 بعد Loapi لمدة يومين. (المصدر: كاسبرسكي)

إليك الوجبات الجاهزة: كن حذراً فيما تقوم بتنزيله ، وقم فقط بتنزيل التطبيقات من مصادر موثوقة مثل Play Store. لا توجد طريقة أفضل لتجنب البرامج الضارة مثل Loapi.


المصدر: SourceLinks عبر: بقعة بكسل