{"id":198760,"date":"2017-12-19T00:24:00","date_gmt":"2017-12-18T23:24:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198760"},"modified":"2024-10-04T21:15:59","modified_gmt":"2024-10-04T19:15:59","slug":"android-malware-loapi-ausgefeilt-und-kann-gert-killen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/19\/android-malware-loapi-ausgefeilt-und-kann-gert-killen\/","title":{"rendered":"Android-Malware Loapi: Ausgefeilt und kann Gerät killen"},"content":{"rendered":"

Sicherheitsforscher sind auf einen besonders fiesen Trojaner aus der Loapi-Familie gesto\u00dfen. Dieser kombiniert eine Reihe bekannter Malwaretechniken und hat das Testger\u00e4t der Forscher (eher ungewollt) durch Mining-Aktivit\u00e4ten zerst\u00f6rt.<\/p>\n

<\/p>\n

Der Fund wurde unter dem Titel Jack of all trades<\/a> von Kaspersky auf securelist.org vorgestellt. Im Rahmen von Scans wurde die Malware Trojan.AndroidOS.Loap in Android-Apps gefunden. Der Trojaner f\u00e4llt durch seine modulare Struktur auf, \u00fcber die er fast alle bekannten Aktivit\u00e4ten: Mining von Crypto-Geld, einblenden von Werbung (Ads), ausf\u00fchren von DDoS-Angriffen, versenden von Premium-SMS etc. ausf\u00fchren kann.<\/p>\n

Der Infektionsweg<\/h2>\n

Infizierte Apps mit Trojanern aus der Loapi-Familie werden \u00fcber Werbekampagnen verteilt. Die Nutzer werden auf infizierte Webseiten umgeleitet und dann erfolgt der Download der Apps mit dem Trojaner. Die Sicherheitsforscher haben mehr als 20 solcher Ressourcen gefunden, wobei sich die Domains auf popul\u00e4re Antivirus-L\u00f6sungen oder sogar eine ber\u00fchmte Pornoseite beziehen. Das nachfolgende Bild zeigt, dass Loapi sich haupts\u00e4chlich hinter Antivirus-L\u00f6sungen oder Apps mit Erwachsenen-Inhalte versteckt:<\/p>\n

\"Loapi-Trojaner\"<\/a>
\n(Quelle: Kaspersky)<\/p>\n

Ablauf der Infektion<\/h2>\n

Ist die Installation abgeschlossen, versucht die App Ger\u00e4teadministratorberechtigungen zu erhalten und fragt in einer Schleife solange nach, bis der Benutzer zustimmt.<\/p>\n

\"Ger\u00e4te-Administrator\"<\/a> (Quelle: Kaspersky)<\/p>\n

Die Malware Trojan.AndroidOS.Loapi pr\u00fcft auch, ob das Ger\u00e4t gerootet ist, verwendet aber nie nachtr\u00e4glich Root-Privilegien. Die Kasperky-Forscher gehen davon aus, dass dies in Zukunft in einem neuen Modul implementiert wird. Sobald die App \u00fcber Admin-Privilegien verf\u00fcgt, versteckt sie das Icon im Men\u00fc oder simuliert verschiedene Antivirus-Aktivit\u00e4ten.<\/p>\n

\"Fake-Aktivit\u00e4ten\"<\/a>
\n(Quelle: Kaspersky)<\/p>\n

Die App blockiert aggressiv alle Versuche, die Ger\u00e4te-Administrator-Privilegien wieder zu entziehen. Wenn der Benutzer versucht, diese Berechtigungen zu entziehen, sperrt die b\u00f6sartige Anwendung den Bildschirm und schlie\u00dft das Fenster mit den Einstellungen des Ger\u00e4temanagers.<\/p>\n

Neben einer ziemlich standardm\u00e4\u00dfigen Technik zur Verhinderung der Deinstallation fanden die Sicherheitsforscher auch ein interessantes Feature im Selbstschutzmechanismus. Der Trojaner ist in der Lage, von seinem C&C-Server eine Liste von Anwendungen zu erhalten, die eine Gefahr darstellen. Diese Liste wird verwendet, um die Installation und den Start dieser gef\u00e4hrlichen Anwendungen zu \u00fcberwachen. Wenn eine der Anwendungen installiert oder gestartet wird, zeigt der Trojaner eine gef\u00e4lschte Nachricht an, in der er behauptet, dass er Malware entdeckt hat, und fordert den Benutzer nat\u00fcrlich auf, diese zu l\u00f6schen. Diese Nachricht wird in einer Schleife angezeigt, so dass selbst wenn der Benutzer das Angebot ablehnt, die Nachricht immer wieder angezeigt wird, bis der Benutzer schlie\u00dflich zustimmt und die Anwendung l\u00f6scht.<\/p>\n

Die Schadfunktionen<\/h2>\n

Im Trojaner gibt es ein Modul zum aggressiven Einblenden von Werbung, zum Senden kostenpflichtiger Premium-SMS, zum Durchsuchen des Web, um kostenpflichtige WAP-Dienste zu abonnieren, ein Proxy, um DDoS-Angriffe vom Ger\u00e4t auszuf\u00fchren sowie einen Monero-Kryptominer.<\/p>\n

Die Kasperky-Spezialisten kommen zum Schluss, dass die Malware-Autoren fast das gesamte Spektrum der Angriffstechniken f\u00fcr Ger\u00e4te implementiert haben. Der Trojaner kann kostenpflichtiger Dienste abonnieren, SMS-Nachrichten an beliebige Nummern versenden, Traffic generieren und Geld mit der Anzeige von Werbung verdienen, die Rechenleistung eines Ger\u00e4ts nutzen, um Krypto-W\u00e4hrungen zu sch\u00fcrfen, sowie eine Vielzahl von Aktionen im Internet f\u00fcr den Nutzer\/Ger\u00e4t durchf\u00fchren. Das einzige, was fehlt, ist die Benutzerspionage, aber die modulare Architektur dieses Trojaners macht es m\u00f6glich, diese Art von Funktionalit\u00e4t jederzeit hinzuzuf\u00fcgen.<\/p>\n

Interessante Beobachtung zum Abschluss: Das Android-Ger\u00e4t der Sicherheitsforscher, auf welchem die Apps mit dem Trojaner installiert waren, lief durch das Krypto-Mining hei\u00df. Nach 2 Tagen bl\u00e4hte sich das Akku auf und zerst\u00f6rte das Ger\u00e4t \u2013 etwas, was die Malware-Autoren wohl eher nicht bedacht hatten.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows 10: Hello-Anmeldung ausgehebelt?<\/a>
\nMozilla \u00e4rgert Firefox-Nutzer mit 'Mr. Robot'-Add-On-Installation<\/a>
\nWindows 10: Unsicherer Passwort-Manager-App eingeschleust<\/a>
\nFortinets VPN-FortiClient verr\u00e4t Anmeldedaten<\/a>
\nSicherheitsupdate f\u00fcr iCloud f\u00fcr Windows<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsforscher sind auf einen besonders fiesen Trojaner aus der Loapi-Familie gesto\u00dfen. Dieser kombiniert eine Reihe bekannter Malwaretechniken und hat das Testger\u00e4t der Forscher (eher ungewollt) durch Mining-Aktivit\u00e4ten zerst\u00f6rt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328,1107],"class_list":["post-198760","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198760"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198760\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}