Hardwareschäden möglich - Kaspersky warnt vor Android-Trojaner Loapi

Die neue Trojaner-Familie erhielt von Kaspersky den Namen Loapi. Laut dem Sicherheitsunternehmen verfügt die Malware über eine „komplizierte modulare Architektur“, die für einen großen Funktionsumfang sorgt. Sie schürft Kryptowährungen, verschickt SMS, führt DDoS-Angriffe aus und blendet unerwünschte Werbung ein. Der Spitzname des Trojaners ist daher „Jack of all Trades“.

Die Hintermänner verteilen Loapi vor allen über schädliche Werbeeinblendungen für Sicherheitsprodukte und Porno-Webseiten. Besucher die diese Webseiten besuchen erhalten dann statt der gewünschten Sicherheits- oder Porno-App die Loapi-Malware. Nachdem die Malware auf ein Smartphone oder Tablet geladen wurde, verlangt sie nach erweiterten Berechtigungen, die auch die Einrichtung eines Geräteadministratorkontos zulassen. Je nach heruntergeladener App verwendet Loapi bekannte Namen beispielsweise von Avia oder AVG, um Vertrauen beim Benutzer aufzubauen.

Sollte der Benutzer den Berechtigungen nicht zustimmen, wird die Aufforderung immer wieder eingeblendet, bis der Nutzer entnervt zustimmt. Nach der Installation prüft Loapi ob das Gerät durch den Nutzer gerootet wurde. Ausgenutzt werden die Root-Rechte jedoch komischerweise nicht. Die Analysten von Kaspersky vermuten, dass diese Funktion erst in einer neuen Version vorhanden sein wird.

Loapi simuliert nachdem die Administrator-Rechte erteilt wurden eine normale Sicherheits-App. Sollte der Benutzer eigentlich eine Porno-App heruntergeladen haben, versteckt Loapi sein Icon im App-Drawer. Wenn Benutzer versuchen die bereits vergebenen Administrator-Rechte wieder zu entfernen, wehrt sich die Malware aktiv. Sie schließt dazu die Fenster mit dem Verwaltungsmenü der Geräteadministration und sperrt den Bildschirm des betroffenen Geräts.

Außerdem versucht Loapi echte Sicherheitssoftware vom Smartphone deinstallieren zu lassen. Dazu wird eine Liste mit Anwendungen die den Trojaner identifizieren können aus dem Internet abgerufen. Sollte eine der Anwendungen installiert sein, stuft Loapi diese als schädlich ein und der Nutzer bekommt eine Aufforderung zur Deinstallation eingeblendet. Auch diese Meldung wird solange aggressiv angezeigt, bis der Nutzer der Aufforderung nachkommt und die App entfernt.

Kaspersky beschreibt insgesamt fünf verschiedene Module des Trojaners. Um Werbeeinnahmen zu generieren blendet Loapi Video-Anzeigen und Banner ein und besucht bestimmte Internetseiten, darunter auch soziale Netzwerke wie Facebook und VKontakte. Außerdem fügt der Trojaner auf dem Startbildschirm Verknüpfungen an. Kommuniziert wird mit dem Befehlsserver per SMS. Loapi hat dafür ein SMS-Modul das Kurznachrichten selbstständig verschicken und empfangen kann. Um nicht entdeckt zu werden, löscht es gesendete und empfangene Nachrichten selbstständig.

Das dritte Modul führt JavaScript-Code auf Webseiten aus, um so per WAP-Billing kostenpflichtige Abonnements abzuschließen. SMS-Bestätigungen werden selbstständig durch Loapi akzeptiert und automatisch beantwortet. Zur Umleitung von HTTP-Anfragen ist ein Proxy-Modul vorhanden. Laut Kaspersky können so DDoS-Attacken ausgeführt werden. Des Weiteren verwendet das letzte Modul die Rechenleistung der infizierten Geräte um die Kryptowährung Monero zu schürfen.

Laut Kaspersky ist „Loapi ein interessanter Vertreter aus der Welt der schädlichen Android-Apps. Seine Entwickler haben fast das gesamte Spektrum der Techniken für Angriffe auf Geräte implementiert. Nur Spionage fehlt, aber die modulare Architektur des Trojaners bedeutet, dass es jederzeit möglich ist, diese Funktion hinzuzufügen.“

Aufgrund der stetigen Beanspruchung der Rechenleistung sorgt Loapi für unerwünschte „Nebenwirkungen“. Der Akku eines Smartphones blähte sich bereits nach zwei Tagen Testzeitraum so stark auf, dass sich das Gehäuse deutlich verformte.