Multifunktions-Trojaner „Loapi“ kapert Android-Geräte und kann Akkus grillen

Der Blog der Profis der Kaspersky Labs wies am 18.12.2017 auf den neuen, hochaggressiven Trojaner „Trojan.AndroidOS.Loapi“ hin. Loapi ist ein ausgefeilter (Modul-) Downloader, der nach seiner Aktivierung nahezu unerschöpflich Schutzsoftware für sein eigenes Überleben sowie weitere Malware auf Ihr Endgerät nachladen kann.

Immer wieder verbreiten sich im Internet Trojaner und Viren nicht nur über Computer, sondern auch über Smartphones. Die Cyberkriminellen werden erfinderischer und suchen immer neue Wege, um die Schadsoftware an den Mann oder die Frau zu bringen. Wir haben bereits über schädliche Banking-Apps informiert, durch die Ihre Online-Banking Daten ausgespäht werden.

Zudem gibt es aber auch Malware, die immer wieder neue Software im Hintergrund herunterlädt, ohne dass Sie es bemerken. So ist es beispielsweise auch möglich, dass Ransomware (Erpessungstrojaner) auf das Smartphone gelangen und dieses unbrauchbar machen kann.

Der aktuelle Trojaner „Loapi“ ist deshalb so gefährlich, weil er sich in Antiviren-Apps versteckt. Manchmal ist er auch in „Apps für Erwachsene“ anzutreffen. Wer nicht aufpasst und die Anwendungen über externe Webseiten lädt, landet schnell in der Falle. 

• Was ist ein Virus?
• Was ist ein Trojaner?
• Was ist Malware?

Wo ist Loapi im Internet anzutreffen?

Professionell gemachte Werbestrategien im Web machen Android-Apps bekannt, in denen sich Loapi versteckt. Die entsprechenden Apps kommen zur Zeit (!) als Antivirus-Package daher oder als App, die Zugriff auf Web-Inhalte für Erwachsene verspricht.

Die Seiten, über die die Apps erhältlich sind, locken Benutzer mit Vertrauen erweckenden, offiziell aussehenden Logos.

Welche Geräte sind gefährdet?

Gefährdet sind alle Smartphones, Tablets und 2 in 1-Geräte, die Android als Betriebssystem haben und deren Besitzer Apps außerhalb der offiziellen Stores laden.

Wie „arbeitet“ Loapi?

Sie müssen dem Loapi-Trojaner aktiv Root-Rechte geben, damit er sein Werk beginnen kann.

Die Träger-App des Loapi-Trojaners bittet Sie nach der Installation um weitgreifende Zugriffsrechte auf das Endgerät.
Werden diese Root-/Admin-Rechte gewährt, verbindet sich Loapi unauffällig mit seinem Command-and-Control-Server (C&C-Server). Dazu genügt ihm die normale SMS-Funktion eines Smartphones. Vom C&C-Server lädt er seine „Module des Schreckens“ nach.

Von nun an macht Loapi, was er möchte.

Viren-Jäger der Kaspersky Labs sehen bei Loapi alarmierende Parallelen zum 2015 kursierenden SMS-Trojaner „Trojan-SMS.AndroidOS.Podec“, der CAPTCHA-Sicherheitsabfragen umgehen konnte.

Was macht Loapi im Detail?

Durch die Kommunikation mit einem oder mehreren C&C-Servern weiß Loapi, welche Antivirus-Lösungen ihn gefährden. Ist eine entsprechende App installiert, gibt er kurzerhand vor, sie sei Schadsoftware, die nun entfernt werden solle.

Bestätigt der Benutzer diesen Dialog nicht und erlaubt dem unsichtbaren Loapi nicht, diese gefundene „Malware“ zu entfernen, spielt ihm Loapi diese Dialog-Einblendung so lange ein, bis der genervte Benutzer nachgibt und der vermeintlichen Malware-Entfernung zustimmt.

Mit dieser Methode des „So-lange-Nervens-bis-der-Benutzer-einknickt“ erstreitet sich Loapi auch regelrecht die verlangten Administrator-Rechte über das Endgerät.

Gibt der Nutzer Loapi nicht nach, ist sein Gerät durch die ständigen Dialog-Einblendungen (Pop-up Fenster) kaum noch normal zu nutzen.

Verfügt Loapi über Root-Rechte, sperrt er das Display und blendet Aktionsfelder aus, damit ihm diese Rechte nicht wieder entzogen werden können.

Loapi, der wandelbare Trojaner

Loapi kann mehr als zwei oder drei Virus-Funktionen ausführen. Er kann viele Module nachladen, die Ihr Gerät ohne Ihr Wissen nutzen.

Laut den Kaspersky Labs versorgt sich Loapi über C&C-Server unter anderem mit einem

• Adware-Modul, das für sehr aufdringliche Werbeeinblendungen zuständig ist
• SMS-Modul, das SMS verschicken, empfangen, beantworten, löschen und diese Vorgänge verschleiern kann
• Web-Modul, das den Benutzer bei Bezahldiensten registriert, durch WAP-Billing Abos abschließen und Apps installieren kann
• Proxy-Modul, das HTTP-Zugriffe verschleiert, um DDoS-Attacken auszuführen oder Besucherzahlen auf Websites zu erhöhen
• Mining-Modul, das mit der Rechenleistung Ihres Geräts die Krypto-Währung Monero (XMR) generiert

Der beste Schutz vor Loapi

Wenn Sie die folgenden Tipps als Android-Nutzer beherzigen, kann Ihnen Loapi nicht gefährlich werden:

• Keine Root-Rechte an eine neue/unbekannte App verschenken.
• Apps nur von bekannten Quellen beziehen, die Apps auf Malware prüfen.
• Professionelle Antivirus-Software installieren.
• Antivirus-Software und Betriebssystem aktuell halten.

Haben Sie Fragen?

Sind Sie ein Opfer von Loapi oder haben Sie die Malware gerade noch rechtzeitig entdeckt. Nutzen Sie die Kommentare unter dem Artikel, um sich mit anderen Lesern auszutauschen. Ihre Fragen versuchen wir innerhalb von 48 Stunden zu beantworten.

Weitere interessante Meldungen zu Trojanern

• Beiträge nicht gefunden