Loapi Trojan, il mobile trojan scoperto nel 2017

Il problema legato all’aumento vertiginoso del numero di attacchi informatici, invece di essere risolto, sembra peggiorare con il tempo all’aumentare delle interconnessioni. Android è ancora una destinazione popolare per gli sviluppatori di malware. Gli investigatori hanno scoperto una nuova forma di malware noto come Loapi che colpisce i dispositivi mobili con sistemi Android.

Loapi malware ottiene spesso l’accesso ai telefoni cellulari attraverso i clic impropri dell’utente.
L’infezione ha inizio dal momento che l’utente clicca su un pop-up o una pubblicità che propone una soluzione antivirus fasulla o su un software che propone contenuti per adulti.

In quest’articolo, parliamo approfonditamente di questa minaccia e delle dovute misure di prevenzione.

1. Trojan, un panorama introduttivo
2. Loapi Trojan, in che cosa consiste?
3. Misure di prevenzione contro il Loapi Trojan

Non è certo una novità che i cellulari con sistema operativo Android siano tra i bersagli preferiti degli hacker negli ultimi anni.

L’uso diffuso del sistema operativo rilasciato da Google, insieme alla sua eterogeneità, lo rende un bersaglio ideale per gli attacchi hacker orientati al furto dati dei consumatori.

Le minacce hacking per i cellulari Android sono numerosi:
da adware, trojan e malware di cryptojacking, gli utenti devono lottare per difendersi da un numero sempre crescente di minacce.

I trojan sembrano essere i malware mobile più frequenti e, soprattutto, più letali.
Se, ad esempio, il nostro smartphone Android venisse infettato da un trojan horse, non solo correremmo il rischio di contrarre nuovi malware, ma saremmo soggetti anche alla possibilità che gli hacker ottengano l’accesso completo al nostro dispositivo e ci rubino tutti i dati in esso memorizzati.

In sintesi, a causa dei Trojan, potremmo essere spiati in qualsiasi momento senza esserne a conoscenza.

Tool di amministrazione remota

I RAT sono trojan che riescono ad accedere da remoto a qualsiasi dispositivo tramite una connessione Internet.
Pertanto, se un hacker ottiene l’accesso al nostro telefono tramite un RAT, può intercettare quello che scriviamo tramite WhatsApp, quali siti web visitiamo e sapere quali telefonate facciamo. Un criminale informatico può non solo fungere da spettatore in incognito ma può anche compiere azioni tra cui scattare immagini con i nostri telefoni, consentire la geolocalizzazione per tenere traccia di tutti i nostri movimenti, rubare denaro dalla nostra applicazione di home banking e così via.

Rooting trojan

Il trojan rooting è un altro malware estremamente comune e altrettanto dannoso per i dispositivi mobile.
Si tratta di un malware che funziona in modo indipendente una volta ottenuta la root di sistema del dispositivo.

I root sono i cosiddetti permessi amministratore, che consentono di modificare file e directory di sistema, sono conosciuti come “permessi di root” per le persone che non li conoscono. In genere, alcuni professionisti eseguono questa procedura per personalizzare completamente il proprio telefono, soprattutto se si tratta di un dispositivo Android.

Tuttavia, i trojan di rooting si installano da soli sul telefono e possono costringere il dispositivo a visualizzare annunci pubblicitari, a installare adware in background sfruttando particolari difetti del sistema operativo.

Il tutto senza che l’utente sia a conoscenza dell’esecuzione delle installazioni.
Questo tipo di minaccia informatica può persino sostituire le app del telefono con quelle dannose che, se utilizzate dall’utente, servono solo a scaricare più virus, rendendo così il telefono praticamente inutilizzabile nel giro di pochi minuti.

Il fatto che i trojan rooting siano attualmente considerati il malware più dannoso nel settore degli smartphone non è un caso.

Trojan modulari

I Trojan modulari sono senza dubbio al terzo posto nell’elenco dei virus per smartphone più letali.

Si tratta di virus informatici che prendono di mira l’utente su più fronti.
La diffusione di Loapi nel 2017 è stato l’esempio più visibile.

Un Trojan modulare può visualizzare annunci pubblicitari, iscrivere l’utente a servizi a pagamento, lanciare attacchi DDoS su comando da un server remoto, inviare SMS a criminali informatici e così via. Tutto questo accade senza che l’utente veda nulla o sia in grado di fermare l’attacco.

Negli ultimi anni questa tipologia di Trojan ha cominciato a minare silenziosamente anche gli smartphone, trasformandosi in crypto-malware.

Gli utenti vengono infettati da Trojan Loapi tramite un banalissimo clic su banner.

Si tratta tipicamente di annunci che pubblicizzano la finta protezione di antivirus o propongono un software per adulti. Una volta cliccato sul pop-up, per la vittima non c’è via di uscita.
Dopo l’installazione, Loapi malware richiede l’accesso come amministratore del dispositivo e per il proprietario dello smartphone non c’è via di scampo. Sullo schermo iniziano a comparire diversi banner che ostacolano qualsiasi attività della persona, fino a quando l’utente cede e le clicca.

Il Trojan a questo punto:

1. revocare i diritti di amministratore
2. blocca immediatamente lo schermo
3. chiude l’accesso alle impostazioni del dispositivo

Il design modulare di Loapi gli consente di adattare le sue funzionalità e trasformarsi in un server remoto per molti comandi, perfettamente in grado di scaricare e installare da solo i componenti aggiuntivi richiesti. Nessun antivirus per Android è in grado di bloccare la minaccia.

Tra le principali caratteristiche di Loapi malware per mobile troviamo:

Download di nuovi moduli

Poiché è al comando di un server remoto, il virus può scaricare nuovi moduli per adattarsi a qualsiasi nuovo schema per fare soldi come dai suoi sviluppatori.
Ad esempio, un giorno potrebbe diventare un ransomware, il prossimo malware o un trojan finanziario.

Fornire le risorse del dispositivo mobile per attacchi DDoS

Il Trojan può trasformare il tuo telefono in uno zombi usandolo per lanciare attacchi DDoS contro altri siti web.
Loapi fornisce query HTTP dal dispositivo infetto tramite un server proxy integrato.

Visualizzare banner indesiderati

Video pubblicitari e banner vengono costantemente caricati da Loapi nei telefoni compromessi.
Questo modulo trojan può anche aprire pagine Facebook e Instagram, scaricare e installare applicazioni aggiuntive e fare clic sui collegamenti.
Principalmente per aumentare la redditività di queste pagine.

Iscrizione a un servizio a pagamento

Un altro modulo Trojan costringe gli utenti a iscriversi a servizi premium.
Normalmente, tali iscrizioni richiedono una conferma tramite SMS, tuttavia Loapi non sembra essere ostacolato da questo requisito.
Un altro modulo consente al Trojan d’inviare di nascosto un messaggio di testo a un determinato numero di telefono.
Inoltre, tutti i messaggi, sia in entrata che in uscita, vengono prontamente eliminati.

Mining di criptovalute non autorizzato

Loapi utilizza anche i cellulari per estrarre i token Monero, un’attività che potrebbe causare il surriscaldamento del dispositivo a causa dell’utilizzo intensivo ed esteso della CPU.

Concludendo, la prevenzione è preferibile al trattamento della minaccia Loapi.
Di seguito consigliamo di adottare a queste semplici linee guida per prevenire l’infezione:

• Installare programmi solo da negozi autorizzati;
  i trojan riescono occasionalmente a infiltrarsi in rivenditori legittimi, sebbene questa probabilità sia ovviamente molto inferiore a quella di altri siti Web con origini discutibili;
• Per una maggiore sicurezza, impedire l’installazione di programmi da fonti sconosciute.
• Evitare d’installare programmi inutili. Come regola generale, lo smartphone è più sicuro meno app installi;
• Munirsi di un antivirus affidabile che controlli costantemente il dispositivo. Esistono varie applicazioni gratuite che forniscono una sicurezza decente.