Araştırmacılar, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti. Modüler yapısı sayesinde bu zararlı yazılıma daha fazla işlev de eklenebiliyor. Bu olağan dışı ve güçlü zararlı yazılım Loapi olarak adlandırılıyor.
Loapi; bankacılık Truva Atları, kripto madencilik Truva Atları ve benzerleri gibi tek işlevli Android zararlı yazılımlarından çok farklı. Karmaşık bir modüler mimariye sahip olan yazılım sızdığı cihazda neredeye sınırsız işlem yapabiliyor.
Loapi Truva Atı, antivirüs çözümleri veya yetişkin uygulamaları için düzenlenen reklam kampanyalarına gizlenerek yayılıyor. Uygulamalar kurulduktan sonra yönetici haklarına erişim talep ediyor. Ardından ek modüller kurmak için komut ve kontrol sunucularına bağlanıyor.
Mimaride şu modüller bulunuyor:
- Reklam yazılımı modülü – Kullanıcının cihazında çok sayıda reklam görüntülemek için kullanılıyor.
- SMS modülü – Zararlı yazılım tarafından kısa mesajlarla birçok farklı işlem yürütmek için kullanılıyor.
- Web gezgini modülü – Kullanıcıların haberi olmadan ücretli servislere üye olmak için kullanılıyor. SMS modülü kısa mesajları kullanıcıdan gizliyor ve gerektiği şekilde yanıt veriyor. Ardından tüm “delilleri” ortadan kaldırıyor.
- Proxy modülü – Saldırganların cihaz adına HTTP talepleri yapmasını sağlıyor. Bu işlemler DDoS saldırıları için kullanılabiliyor.
- Monero madenci modülü – Monero (XMR) kripto para birimi madenciliği yapmak için kullanılıyor.
Birçok farklı özelliğe sahip olan Loapi, kendini koruma becerisine de sahip. Kullanıcı uygulamadaki yönetici haklarını kaldırmaya çalıştığı zaman zararlı yazılım devreye girerek cihazın ekranını engelleyip pencereyi kapatıyor. Bu standart koruma yöntemine ek olarak, Loapi komut ve kontrol sunucularından kendisi için tehlikeli olan uygulamaların bir listesini alabiliyor. Bu listede genellikle zararlı yazılımı ortadan kaldıran güvenlik çözümleri yer alıyor. Kurulu veya çalışan uygulamalardan birisi listedeyse Truva Atı kullanıcıya sahte bir mesajla zararlı bir yazılım bulunduğunu ve uygulamayı kaldırabileceğini söylüyor. Mesaj bir döngü olarak sunuluyor. Böylece kullanıcı uygulamayı silmeyi başta reddetse bile silme işlemi kabul edilene kadar mesaj tekrar tekrar gösteriliyor.
Araştırmada, Loapi’nin kendini korumak için yaptığı bu işlemlerin ilginç bir sonucu da keşfedildi. Rastgele seçilen bir telefonda yapılan testte, zararlı yazılımın çok büyük bir iş yükü oluşturduğu ve bunun sonunda cihazın ısınarak pilinin zarar görebildiği tespit edildi. Geliştiricilerin, zararlı yazılımı olabildiğince uzun süre çalıştırarak daha fazla para elde etme amacı taşıdıkları için bu durumun gerçekleşmesini istemedikleri düşünülüyor. Ancak, zararlı yazılımın optimizasyonuna özen gösterilmemesi bu şekilde bir “saldırı yöntemine” yol açmış durumda ve kullanıcıların cihazlarına ciddi şekilde zarar verebiliyor.
Yapılan araştırmaya göre Loapi, Trojan.AndroidOS.Podec ile bağlantılı olabilir. Her iki Truva Atı da başlangıçta komut ve kontrol sunucusu için benzer bilgileri alıyor. Ayrıca ikisinin de gizlenme yöntemleri birbirine benziyor.
Araştırmacılar, kullanıcıların cihazlarını ve gizli verilerini olası siber saldırılardan korumak için şunları tavsiye ediyor:
- Resmi uygulama mağazalarının dışındaki kaynaklardan uygulama kurma özelliğini devre dışı bırakın.
- Yazılımdaki açıkları ve saldırı riskini azaltmak için işletim sisteminizin en güncel sürümünü kullanın.
- Cihazınızı siber saldırılardan korumak için tanınmış bir güvenlik çözümü kurun.
