Multifunktions-Trojaner Loapi greift Android-Nutzer an

Kaspersky hat eine neue Trojaner-Familie entdeckt, die Nutzer von Googles Mobilbetriebssystem Android bedroht. Die Loapi genannte Malware verfügt nach Angaben des Sicherheitsanbieters über eine “komplizierte modulare Architektur”, was ihr eine Vielzahl schädlicher Aktivitäten ermögliche: Kryptowährungen schürfen, unerwünschte Werbung einblenden und DDoS-Angriffe ausführen.

Verteilt wird Loapi in erster Linie über infizierte Werbung für Sicherheitsprodukte und Porno-Websites. Sie leitet Nutzer zu Web-Ressourcen unter der Kontrolle der Angreifer um. Anstatt die gesuchte App zu laden, landet Loapi nach einem Klick auf eine der Anzeigen auf dem Smartphone oder Tablet und verlangt nach der Berechtigung zur Einrichtung eines Geräteadministrators. Je nach gewählter App tutsie das im Namen einer bekannten Sicherheitslösung wie Avira oder AVG.

ImFalle eienr Ablehnung wird diese Anforderung in einer Schleife immer wieder eingeblendet, bis der Nutzer schließlich zustimmt. Darüber hinaus prüft der Trojaner, ob das Gerät gerootet wurde. Die möglicherweise verfügbaren Root-Rechte nutzt Loapi jedoch nicht. Kaspersky vermutet, dass diese Funktion erst mit einer künftigen Variante aktiviert wird.

Nach Erhalt der Administrator-Rechte simuliert Loapi die Funktion der ursprünglich versprochenen App und versteckt sein Icon im App-Drawer. Sollte der Nutzer nachträglich versuchen, die Administrator-Rechte zu entziehen, sperrt der Trojaner den Bildschirm und schließt das Fenster mit dem Menü zur Verwaltung der Geräteadministratoren.

Darüber hinaus bezieht Loapi von seinem Befehlsserver im Internet eine Liste mit Anwendungen, die den Trojaner als solchen identifizieren können. Wird eine dieser Apps auf dem Gerät gefunden, stuft Loapi sie als schädlich ein und fordert den Nutzer auf, sie zu deinstallieren. Auch diese Warnmeldung zeigt Loapi in einer Schleife an, bis die App entfernt wurde.

Kaspersky beschreibt zudem fünf Module des Trojaners. Das Werbemodul blendet Video-Anzeigen und Banner-Werbung ein, öffnet bestimmte URLs, legt Verknüpfungen auf dem Startbildschirm an und öffnet bestimmte Seiten in Sozialen Netzwerken wie Facebook und VK. Das SMS-Modul wiederum schickt und empfängt Kurznachrichten, um mit dem Befehlsserver der Hintermänner zu kommunizieren. Um seine Aktivitäten zu verbergen, ist es in der Lage, Nachrichten aus dem Eingang und Ausgang zu löschen.

Ein Web-Crawling-Modul führt versteckten JavaScript-Code auf Websites aus, um per WAP-Billing Abonnements abzuschließen. Fordert der Anbieter des Abonnements eine Bestätigung per SMS an, fängt das SMS-Modul die Nachricht ab und antwortet automatisch. Ein Proxy-Modul richtet einen Proxy-Server ein, der für die Umleitung von HTTP-Anfragen benötigt wird. Damit lassen sich laut Kaspersky DDoS-Angriffe auf bestimmte Ressourcen organisieren. Das fünfte Modul schließlich schürft die Kryptowährung Monero.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de