Categories: CybersicherheitVirus

Multifunktions-Trojaner Loapi greift Android-Nutzer an

Kaspersky hat eine neue Trojaner-Familie entdeckt, die Nutzer von Googles Mobilbetriebssystem Android bedroht. Die Loapi genannte Malware verfügt nach Angaben des Sicherheitsanbieters über eine “komplizierte modulare Architektur”, was ihr eine Vielzahl schädlicher Aktivitäten ermögliche: Kryptowährungen schürfen, unerwünschte Werbung einblenden und DDoS-Angriffe ausführen.

Verteilt wird Loapi in erster Linie über infizierte Werbung für Sicherheitsprodukte und Porno-Websites. Sie leitet Nutzer zu Web-Ressourcen unter der Kontrolle der Angreifer um. Anstatt die gesuchte App zu laden, landet Loapi nach einem Klick auf eine der Anzeigen auf dem Smartphone oder Tablet und verlangt nach der Berechtigung zur Einrichtung eines Geräteadministrators. Je nach gewählter App tutsie das im Namen einer bekannten Sicherheitslösung wie Avira oder AVG.

ImFalle eienr Ablehnung wird diese Anforderung in einer Schleife immer wieder eingeblendet, bis der Nutzer schließlich zustimmt. Darüber hinaus prüft der Trojaner, ob das Gerät gerootet wurde. Die möglicherweise verfügbaren Root-Rechte nutzt Loapi jedoch nicht. Kaspersky vermutet, dass diese Funktion erst mit einer künftigen Variante aktiviert wird.

Nach Erhalt der Administrator-Rechte simuliert Loapi die Funktion der ursprünglich versprochenen App und versteckt sein Icon im App-Drawer. Sollte der Nutzer nachträglich versuchen, die Administrator-Rechte zu entziehen, sperrt der Trojaner den Bildschirm und schließt das Fenster mit dem Menü zur Verwaltung der Geräteadministratoren.

Darüber hinaus bezieht Loapi von seinem Befehlsserver im Internet eine Liste mit Anwendungen, die den Trojaner als solchen identifizieren können. Wird eine dieser Apps auf dem Gerät gefunden, stuft Loapi sie als schädlich ein und fordert den Nutzer auf, sie zu deinstallieren. Auch diese Warnmeldung zeigt Loapi in einer Schleife an, bis die App entfernt wurde.

Kaspersky beschreibt zudem fünf Module des Trojaners. Das Werbemodul blendet Video-Anzeigen und Banner-Werbung ein, öffnet bestimmte URLs, legt Verknüpfungen auf dem Startbildschirm an und öffnet bestimmte Seiten in Sozialen Netzwerken wie Facebook und VK. Das SMS-Modul wiederum schickt und empfängt Kurznachrichten, um mit dem Befehlsserver der Hintermänner zu kommunizieren. Um seine Aktivitäten zu verbergen, ist es in der Lage, Nachrichten aus dem Eingang und Ausgang zu löschen.

Ein Web-Crawling-Modul führt versteckten JavaScript-Code auf Websites aus, um per WAP-Billing Abonnements abzuschließen. Fordert der Anbieter des Abonnements eine Bestätigung per SMS an, fängt das SMS-Modul die Nachricht ab und antwortet automatisch. Ein Proxy-Modul richtet einen Proxy-Server ein, der für die Umleitung von HTTP-Anfragen benötigt wird. Damit lassen sich laut Kaspersky DDoS-Angriffe auf bestimmte Ressourcen organisieren. Das fünfte Modul schließlich schürft die Kryptowährung Monero.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

8 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

13 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

14 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago