Imagine que você veja um banner de anúncio, te convidando a baixar uma aplicação que lhe interessa. Vários dias após a instalação, você começa a suspeitar que algo está errado – seu dispositivo está aquecendo e está funcionando devagar, mas você não consegue descobrir o motivo.
Muito provavelmente, seu dispositivo foi comprometido por um trojan móvel, que está sendo usado com propósitos maliciosos – ataques de negação de serviço (DDoS), cobranças indevidas, etc. Mas quantas funções prejudiciais podem ser implementadas em um cavalo de Tróia? Muitas, segundo a recente descoberta dos especialistas da Kaspersky Lab.
Os pesquisadores da Kaspersky Lab identificaram um novo e intrigante malware móvel com vários módulos, o que permite um número quase infinito de recursos maliciosos – desde a mineração de moeda criptográfica até ataques DDoS. Devido à sua arquitetura modular, ainda podem ser adicionadas mais funções. Este incomum e poderoso software malicioso é chamado de Loapi.
Ele se destaca entre os vários códigos maliciosos para Android que possuem apenas uma função, incluindo trojans bancários, trojans de mineração criptográfica, etc., porque possui funções singulares e uma arquitetura modular complexa que lhe permite realizar ações quase ilimitadas em um dispositivo comprometido.
O Trojan Loapi está sendo disseminado por campanhas publicitárias, disfarçado como soluções antivírus ou de aplicativos para adultos. Uma vez instalados, os aplicativos solicitam direitos de administrador no dispositivo e, em seguida, iniciam discretamente comunicações com servidores de comando e controle para instalações de módulos adicionais.
Além disso, uma vez comprometido, não é fácil excluir o aplicativo e retornar seu dispositivo ao modo de operação normal – o Loapi tem a capacidade de se auto proteger.
Assim que você tentar revogar os direitos de administrador do malware, ele irá bloquear a tela do dispositivo e fechar a janela. Além disso, o Loapi pode receber uma lista de aplicativos que podem tentar desinstalá-lo, vinda dos servidores de comando e controle – muitas vezes são soluções de segurança, que pretendem remover o malware.
Se um aplicativo instalado ou em execução estiver na lista, o Trojan mostra uma mensagem falsa dizendo que um software mal-intencionado foi encontrado e que oferece ao usuário a chance de remover o aplicativo. A mensagem é mostrada em um loop, portanto, mesmo se você se recusar a excluir o aplicativo no início, a mensagem será exibida novamente até você finalmente concordar.
Além dessa abordagem de autodefesa, a pesquisa da Kaspersky Lab também mostrou um ponto interessante: os testes em um smartphone selecionado aleatoriamente demonstraram que o malware cria uma carga de trabalho tão pesada em um dispositivo infectado, que ele chega a aquecer muito a ponto de deformar a bateria.
Os autores do malware não teriam desejado que isso acontecesse, pois querem a todo custo dinheiro e por isso manter o malware em funcionamento. Mas a falta de atenção à otimização do malware levou a este inesperado “vetor de ataque” físico e, possivelmente, danos sérios aos dispositivos do usuário.
