Los investigadores de Kaspersky han descubierto una cepa de malware que acecha en el contenido para adultos y en los escáneres de virus falsos, y puede hacer que el mob de Android de una víctima sufra daños físicos.
El troyano Android, conocido como “Loapi“, tiene una arquitectura modular que le permite adaptarse para ejecutar la extracción de criptomonedas, participar en redes DDoS o bombardear a los usuarios que sufren con anuncios constantes.
La muestra analizada por Nikita Buchka, Anton Kivva y Dmitry Galov de Kaspersky, cuando se ejecutaban unos pocos días para extraer la criptomoneda Minero, trabajó su dispositivo de prueba con tanta fuerza que “la batería se combó y deformó la cubierta del teléfono“.
Loapi se comunica con los siguientes servidores de control y comando específicos del módulo:
ronesio.xyz (módulo publicitario);
api-profit.com:5210 (módulo SMS y módulo de minería de datos);
mnfioew.info (rastreador web); y
mp-app.info (módulo proxy)
Kaspersky dijo, “se usa para la ejecución oculta de código JavaScript en páginas web con facturación WAP para suscribir al usuario a varios servicios“, y funciona en conjunto con el módulo SMS para enviar el mensaje de suscripción.
Al trabajar con el módulo de anuncios, el rastreador web “intentó abrir aproximadamente 28,000 URL exclusivas en un dispositivo durante nuestro experimento de 24 horas“.
El troyano trata de molestar a los usuarios para que le otorguen privilegios de administrador, lo que también lo haría ideal para el espionaje del usuario, algo que los investigadores de Kaspersky creen que es probable en el futuro.
La gente de Malwarebytes ha tenido su propio hallazgo de la semana: la empresa con sede en China que hace un año envió el firmware de recolección de datos, Shanghai Adups Technology, está enviando un autoinstalador denominado “Android / PUP.Riskware”. Autoins.Fota “.
Cuando el ruido sobre Adups disminuyó, Nathan Collier escribió que había un componente que Malwarebytes pasó por alto: “Viene con los nombres de los paquetes com.adups.fota.sysoper y com.fw.upgrade.sysoper, aparece en la lista de aplicaciones como UpgradeSys, y tiene el nombre de archivo FWUpgradeProvider.apk “.
Al igual que el trabajo previo de Adups, el instalador obtiene privilegios de administrador porque está preinstalado en el dispositivo; y si bien por sí solo no es malicioso, podría usarse para extraer otro software peligroso.
Malwarebytes proporciona instrucciones para deshabilitar el instalador, utilizando la herramienta Debloater.
