| 卡巴斯基实验室本周一(12月18日)发布博文表示,发现一种名为 Loapi 的功能强大的木马病毒,其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等,甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。
伪装成杀毒软件和色情应用程序感染设备 研究人员介绍,恶意开发人员利用 Loapi 挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后,会自动下载恶意文件。据悉,存在 Loapi 的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中,应用程序会尝试获取设备管理员权限, 通过循环弹框直到用户同意授权为止。随后,Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动,试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型,如下图:
具备强大的自我保护机制 研究发现,木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图,每当用户试图取消这些权限时,恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口,并执行以下代码:
同时该木马还能够从其 C&C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动, 例如当木马 Loapi 检测到一个真正的反病毒应用程序,它会谎称其是恶意软件,并循环弹框迫使用户卸载该反病毒应用程序。
开采 Monero (门罗币) 导致手机电池膨胀 根据卡巴斯基实验室的说法,木马 Loapi 具备挖掘加密货币的功能,能够利用被感染设备的计算资源挖掘数字货币 Monero(门罗币),也正是这种功能甚至导致了设备电池膨胀,以至于对手机造成物理损害。
感染木马病毒后的手机设备,两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击:该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”,但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸,目前 Loapi 被发现只潜伏于第三方应用商店 ,尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序,用户也需时刻保持警惕,因为恶意软件随时可能会出现各种木马漏洞。 本文转载自HackerNews.cc 阿里聚安全 阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。 |
