in

Du minage de crypto-monnaie aux attaques DDos : Kaspersky découvre Loapi, un nouveau trojan mobile multi-fonctions

Les chercheurs de Kaspersky Lab ont identifié un nouveau malware qui fonctionne avec plusieurs modules, ce qui lui confère une quantité presque illimitée de fonctions malveillantes — du minage de crypto-monnaie aux attaques DDos. En raison de son architecture modulaire, il est possible d’y ajouter encore plus de fonctions. Ce logiciel malware inhabituel et puissant se nomme Loapi.

Loapi se distingue de la foule des logiciels malveillants Android à fonction unique, y compris les trojans bancaires, les trojans de minage de crypo-monnaie, etc., car il possède une architecture modulaire complexe qui lui permet d’effectuer une quantité quasiment illimitée d’actions sur un appareil infecté.

Le trojan Loapi se propage via des campagnes de publicité en se faisant passer pour une solution antivirus ou une application pour adultes. Une fois installée, l’application demande l’accès aux droits administrateur de l’appareil avant de commencer à communiquer en toute discrétion avec des serveurs de commande et de contrôle pour installer des modules supplémentaires.

L’architecture inclut les modules suivants :

  • Module Adware (Logiciel publicitaire) — utilisé pour l’affichage agressif de publicités sur l’appareil de l’utilisateur,
  •  Module SMS — utilisé par le malware pour effectuer diverses opérations avec les messages texte,
  • Module web crawler (Robot d’indexation) — utilisé pour abonner les utilisateurs à des services payants sans qu’ils le sachent. Le module SMS cache les messages à l’utilisateur, y répond comme nécessaire, puis efface toutes les « preuves »,
  • Module proxy — permet aux attaquants d’effectuer des requêtes HTTP au nom de l’appareil. Ces actions peuvent être effectuées dans le cadre d’attaques DDoS,
  • Module de minage Monero — utilisé pour miner la crypto-monnaie Monero (XMR).

Outre sa quantité excessive de fonctionnalités, Loapi a la capacité de se protéger. Dès qu’un utilisateur tente de révoquer ses droits d’administrateur, le malware bloque l’écran de l’appareil et ferme la fenêtre. Outre cette technique de protection standard, Loapi peut recevoir une liste des applications qui présentent un danger pour lui depuis les serveurs de commande et de contrôle — il s’agit généralement de solutions de sécurité qui cherchent à le supprimer. Si une application installée ou en cours d’exécution se trouve sur la liste, le trojan affiche un faux message indiquant qu’un malware a été détecté, et propose à l’utilisateur de supprimer l’application. Le message s’affiche en boucle, de sorte que même si l’utilisateur refuse de supprimer l’application dans un premier temps, le message s’affiche encore et encore jusqu’à ce que l’utilisateur accepte enfin.

Outre la manière dont Loapi se protège, les chercheurs de Kaspersky Lab ont également découvert un détail intéressant : des tests pratiqués sur un téléphone mobile choisi au hasard ont montré que le malware crée une telle charge de travail sur l’appareil infecté qu’il entraîne sa surchauffe et peut causer une déformation de la batterie. Apparemment, les auteurs du malware ne souhaitaient pas que cela se produise, étant donné que leur objectif est de récolter autant d’argent que possible en maintenant le malware en activité. Le manque d’attention accordée à l’optimisation du malware a cependant conduit à ce « vecteur d’attaque » physique inattendu, avec pour conséquence possible de graves dommages infligés à l’appareil de l’utilisateur.

« Loapi est un représentant intéressant du monde des malwares Android car ses auteurs ont inclus presque toutes les fonctionnalités possibles dans sa conception. La raison derrière cela est simple — il est beaucoup plus facile d’infecter un appareil une seule fois, puis de l’utiliser pour différents types d’activités malveillantes visant à gagner de l’argent de manière illicite. Un élément inattendu de ce malware est que même s’il ne peut pas causer de dommages financiers directs à l’utilisateur en lui volant ses données de carte bancaire, il peut tout simplement détruire le téléphone. Ce n’est pas une chose à laquelle on s’attend de la part d’un trojan Android, aussi sophistiqué soit-il » observe Nikita Buchka, expert en sécurité chez Kaspersky Lab.

Selon les recherches, Loapi pourrait être lié à Trojan.AndroidOS.Podec. Ceci est dû au fait que les deux trojans commencent par recueillir des renseignements similaires pour le serveur de commande et de contrôle. Ils possèdent également des méthodes d’obfuscation similaires.

Les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les mesures suivantes afin de protéger leurs appareils et données personnelles contre d’éventuelles cyberattaques :

  • Désactiver la possibilité d’installer des applications à partir de sources autres que les boutiques d’applications officielles
  • Maintenir la version du système d’exploitation de votre appareil à jour afin de réduire les failles du logiciel et faire diminuer le risque d’attaque.
  • Installer une solution de sécurité reconnue afin de protéger votre appareil des cyberattaques

Pour en savoir plus sur le trojan Loapi : https://securelist.com/jack-of-all-trades/83470/

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.