这个应用会下载一个门罗币矿机导致手机电池过热并让手机超负荷运转,从而造成耗尽电池、导致手机屏变形等恶劣后果。如果用户不从手机中删除名为 Loapi 的恶意软件,它会将手机置于死地。
发现这款恶意软件的卡巴斯基实验室表示 Loapi 似乎源于2015年的恶意软件 Podec。当时,犯罪分子利用 Podec 绕过 AoC 和CAPTCHA 让受害者订阅收费的多媒体服务。这款新的 Loapi 恶意软件比 Podec 有过之而无不及,研究人员称其“无所不能”,因为 Loapi 具有能实施各种恶意行为的高度先进的模块化结构以及组件。
Loapi 恶意软件包括的模块能够做到下面这些:
挖掘门罗币;安装代理以中继流量;在通知区域注入广告;在其它 app 中展示广告;在浏览器中打开 URL 并展示广告;下载并收集其它 app;发动 DDoS 攻击;与手机的 多媒体功能交互;爬取网页(可能用于让用户订阅收费的多媒体服务)等。
Loapi 隐藏在安全类以及成人主题的 app中
Loapi 目前在第三方应用商店中出现,它伪装成手机反病毒类 app 或跟成人主题相关的 app中:
恶意软件使用的攻击方法较为经典:不断用弹出消息骚扰用户,直至用户做出预测动作。Loapi 通过这种方式获取设备管理员权限并且强迫用户从手机上卸载真正的反病毒 app。受 Loapi 感染的 app 如发现用户试图禁用管理员账户,就会关闭“设置”窗口,导致用户不得不以安全模式重启手机来删除 Loapi。基于智能手机型号的不同,以安全模式重启的步骤也各不相同。
Loapi 无法触及官方应用商店,但其它恶意软件可以
虽然 Loapi 并未触及谷歌官方应用商店,但卡巴斯基实验室和ESET公司的研究人员表示其它恶意软件能做到这一点。例如,卡巴斯基发现了 85 款 app 遭受窃取 VK.com 登录凭证的木马。
从谷歌应用商店的下载数据来看,超过100万用户似乎已安装了这些 app。另外,ESET 公司的牙就人员发现了两款app旨在攻击多家波兰银行app,它们是 “StorySaver” 以及 “Crypto Monitor”。
安全客评
病毒之所以隐藏在色情和安全类app中,毫无疑问是在和人们玩心理战。前者就算有风险,人们也会通过自我的心理暗示来降低已知的预期风险;而后者往往更会让人们放松警惕。
所以最安全的防范措施依然是在最安全的官方应用商店中去下载app,在下载之前可以先查看用户评价等信息。当然,在手机上安装一款杀毒软件也是很有必要的。