«Лабораторія Касперського» знайшла незвичайний екземпляр мобільного троянця. Зловред, який отримав назву Loapi, не схожий на всі інші шкідливі програми для платформи Android. Через свою модульну структуру він містить надзвичайно широкий набір функцій і здатний виконувати практично необмежений набір шкідливих дій на зараженому пристрої: від передплати жертви на платні послуги до майнінгу криптовалюти. Раніше подібні багатозадачні Android-троянці антивірусним експертам не зустрічалися. На даний момент "Лабораторія Касперського" зафіксувала понад 45 тисяч спроб зараження зловредом.

Loapi розповсюджується за допомогою рекламних кампаній, в яких користувачі перенаправляються на сайти зловмисників, де й завантажують зловред. Експерти «Лабораторії Касперського» нарахували понад 20 подібних ресурсів – їхні доменні імена здебільшого відсилають до деяких антивірусних рішень та одного дуже відомого порносайту. Сам же троянець маскується під мобільні захисні рішення та програми для дорослих. Після встановлення Loapi запитує права адміністратора, причому робить це вкрай наполегливо і не залишає користувачеві іншого вибору, окрім як погодитися, а потім приступає до «роботи».

На даний момент Loapi містить наступні модулі: рекламний – використовується для агресивного показу реклами, а також прихованої накрутки сайтів та облікових записів у соціальних мережах; SMS – використовується для виконання різних операцій з текстовими повідомленнями, зокрема пересилання SMS зловмисникам, видалення вхідних та надісланих повідомлень тощо; веб-краулер – служить для оформлення на жертву платних підписок, у чому допомагає SMS-модуль, який приховує від користувача повідомлення про активацію передплати; проксі – дозволяє зловмисникам виконувати HTTP запити із зараженого пристрою, що, у тому числі, слугує для організації DDoS-атак; майнер – використовується для майнінгу криптовалюти Monero (XMR).

Крім здатності здійснювати такий широкий спектр шкідливих дій, Loapi також має функцію самозахисту. Наприклад, троянець активно пручається відкликання прав адміністратора: у разі спроби користувача відібрати у нього ці права зловред блокує екран пристрою і закриває вікно з налаштуваннями. Крім того, Loapi отримує з командного сервера список небезпечних для себе програм, наприклад, захисних рішень, і у разі виявлення їх на смартфоні жертви видає попередження про наявність шкідливого програмного забезпечення з пропозицією видалити його. Цікаво, що попередження "зациклене": якщо користувач відмовиться від видалення програми, троянець буде показувати оповіщення знову і знову – доти, доки не буде зроблено «правильний» вибір.

У процесі дослідження шкоди експерти «Лабораторії Касперського» виявили ще одну небезпечну можливість Loapi. Модуль генерації трафіку і майнер настільки сильно навантажили тестовий смартфон, що акумулятор пристрою деформувався і збільшився в розмірах буквально через два дні роботи троянця.

Loapi є дуже незвичайним представником Android-зловредів. Автори втілили у ньому практично всі можливі функції шкідливого мобільного ПЗ. Однак пояснюється це просто: зловмисники розуміють, що набагато легше один раз заразити пристрій і далі використовувати його для нелегального заробітку грошей різними способами. За допомогою Loapi кіберзлочинці можуть підписати жертву платні послуги, відправляти від її імені повідомлення, використовувати смартфон для генерації трафіку та майнінгу криптовалюти. Для повноти картини не вистачає лише можливості шпигувати за користувачем, але завдяки модульній архітектурі троянця цей «брак» досить легко виправити – прокоментували особливості нового мобільного троянця антивірусні аналітики «Лабораторії Касперського.