Kaspersky Lab araştırmacıları, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti. Modüler yapısı sayesinde bu zararlı yazılıma daha fazla işlev de eklenebiliyor. Bu olağan dışı ve güçlü zararlı yazılım Loapi olarak adlandırılıyor.
Loapi; bankacılık Truva Atları, kripto madencilik Truva Atları ve benzerleri gibi tek işlevli Android zararlı yazılımlarından çok farklı. Karmaşık bir modüler mimariye sahip olan yazılım sızdığı cihazda neredeye sınırsız işlem yapabiliyor.
Loapi Truva Atı, antivirüs çözümleri veya yetişkin uygulamaları için düzenlenen reklam kampanyalarına gizlenerek yayılıyor. Uygulamalar kurulduktan sonra yönetici haklarına erişim talep ediyor. Ardından ek modüller kurmak için komut ve kontrol sunucularına bağlanıyor.
Mimaride şu modüller bulunuyor:
- Reklam yazılımı modülü – Kullanıcının cihazında çok sayıda reklam görüntülemek için kullanılıyor.
- SMS modülü – Zararlı yazılım tarafından kısa mesajlarla birçok farklı işlem yürütmek için kullanılıyor.
- Web gezgini modülü – Kullanıcıların haberi olmadan ücretli servislere üye olmak için kullanılıyor. SMS modülü kısa mesajları kullanıcıdan gizliyor ve gerektiği şekilde yanıt veriyor. Ardından tüm “delilleri” ortadan kaldırıyor.
- Proxy modülü – Saldırganların cihaz adına HTTP talepleri yapmasını sağlıyor. Bu işlemler DDoS saldırıları için kullanılabiliyor.
- Monero madenci modülü – Monero (XMR) kripto para birimi madenciliği yapmak için kullanılıyor.
Birçok farklı özelliğe sahip olan Loapi, kendini koruma becerisine de sahip. Kullanıcı uygulamadaki yönetici haklarını kaldırmaya çalıştığı zaman zararlı yazılım devreye girerek cihazın ekranını engelleyip pencereyi kapatıyor. Bu standart koruma yöntemine ek olarak, Loapi komut ve kontrol sunucularından kendisi için tehlikeli olan uygulamaların bir listesini alabiliyor. Bu listede genellikle zararlı yazılımı ortadan kaldıran güvenlik çözümleri yer alıyor. Kurulu veya çalışan uygulamalardan birisi listedeyse Truva Atı kullanıcıya sahte bir mesajla zararlı bir yazılım bulunduğunu ve uygulamayı kaldırabileceğini söylüyor. Mesaj bir döngü olarak sunuluyor. Böylece kullanıcı uygulamayı silmeyi başta reddetse bile silme işlemi kabul edilene kadar mesaj tekrar tekrar gösteriliyor.
Kaspersky Lab’in yaptığı araştırmada, Loapi’nin kendini korumak için yaptığı bu işlemlerin ilginç bir sonucu da keşfedildi. Rastgele seçilen bir telefonda yapılan testte, zararlı yazılımın çok büyük bir iş yükü oluşturduğu ve bunun sonunda cihazın ısınarak pilinin zarar görebildiği tespit edildi. Geliştiricilerin, zararlı yazılımı olabildiğince uzun süre çalıştırarak daha fazla para elde etme amacı taşıdıkları için bu durumun gerçekleşmesini istemedikleri düşünülüyor. Ancak, zararlı yazılımın optimizasyonuna özen gösterilmemesi bu şekilde bir “saldırı yöntemine” yol açmış durumda ve kullanıcıların cihazlarına ciddi şekilde zarar verebiliyor.
Kaspersky Lab Güvenlik Uzmanı Nikita Buchka, “Loapi, Android zararlı yazılımları dünyasının çok ilginç bir temsilcisi çünkü neredeyse mümkün olan tüm özellikleri tasarımında barındırıyor. Bunun ardında yatan neden ise gayet basit. Tek bir cihazı ele geçirip ardından onu yasa dışı para kazanmak için farklı yöntemlerde kullanmak çok daha kolay. Bu zararlı yazılımın beraberinde getirdiği beklenmedik risk ise kullanıcının kredi kartı verisini çalarak maddi zarara uğratmasa da telefonu tamamen yok edebilmesidir. Bu, gelişmiş bir Android Truva Atından bile beklenmeyen bir durum” dedi.
Yapılan araştırmaya göre Loapi, Trojan.AndroidOS.Podec ile bağlantılı olabilir. Her iki Truva Atı da başlangıçta komut ve kontrol sunucusu için benzer bilgileri alıyor. Ayrıca ikisinin de gizlenme yöntemleri birbirine benziyor.