Ciberseguridad
Troyano
Amenazas
DDoS
Kaspersky

Loapi, el nuevo troyano que abarca desde ataques DDoS hasta la minería de criptomonedas

La nueva amenaza se difunde mediante campañas publicitarias bajo la apariencia de soluciones antivirus o de aplicaciones para adultos.

DDoS

Los analistas de Kaspersky Lab ha identificado un nuevo malware caracterizado por un comportamiento bastante extraño. Se trata de Loapi, y su originalidad radica en que cuenta con una gran variedad de módulos. Esto le permite una combinación casi infinita de opciones maliciosas: desde la minería de criptomonedas hasta ataques DDoS.

Dentro de la gran variedad de programas maliciosos de Android, incluidos troyanos bancarios, criptográficos, etcétera, Loapi se distingue por contar con una arquitectura modular compleja, que le permite realizar acciones casi ilimitadas en un dispositivo comprometido. Una arquitectura que incluye los siguientes módulos:

• Módulo de Adware, para visualizar publicidad en el dispositivo del usuario.

• Módulo SMS, para realizar diversas operaciones mediante mensajes de texto.

• Módulo de rastreador web, para suscribir a los usuarios a servicios de pago sin que ellos lo sepan. El módulo SMS oculta los mensajes que recibe el usuario y responde según sea necesario, eliminando luego cualquier “evidencia” que pueda existir.

• Módulo proxy, permite que los ciberdelincuentes hagan peticiones HTTP en nombre del dispositivo. Este tipo de acciones se pueden utilizar para ataques DDoS.

• Módulo minero de divisas, para minar la moneda criptográfica Monero (XMR).

Un troyano, Loapi, que se está difundiendo a través de campañas publicitarias bajo la apariencia de soluciones antivirus o de aplicaciones para adultos. Una vez instaladas, las apps solicitan derechos de administrador del dispositivo y luego, discretamente, inician la comunicación con los servidores de comando y control para instalar módulos adicionales.

En lo que respecta a su modo de actuar, y además del importante número de herramientas de las que dispone, Loapi es capaz de autoprotegerse. De hecho, cuando el usuario intenta revocar los derechos de administrador del dispositivo, el malware bloquea la pantalla del dispositivo y cierra la ventana. Además de esta técnica estándar de autoprotección, Loapi puede recibir, desde los servidores de comando, una lista de las aplicaciones peligrosas y que, en general, son todas aquellas soluciones de seguridad que intentan eliminar el malware. Así, si una aplicación instalada en el dispositivo o en ejecución está en la lista, el troyano muestra al usuario un mensaje falso diciéndole que se ha encontrado un software malicioso y le ofrece la posibilidad de eliminar la aplicación. El mensaje se muestra en un bucle de forma que, si el usuario se niega a eliminar la aplicación, aparece una y otra vez hasta que el usuario, finalmente, cede y acepta.

Además de la autodefensa, la investigación de Kaspersky Lab ha encontrado otro elemento interesante: las pruebas realizadas en un teléfono móvil escogido al azar demostraron que el malware crea una carga de trabajo tan alta que hace que la batería alcance elevadas temperaturas que pueden llegar incluso a deformarla. No parece que los ciberdelincuentes tuvieran este objetivo, ya que su interés principal es que el software esté en funcionamiento para permitirles hacerse con la mayor cantidad de dinero posible. Pero su falta de atención a la optimización del malware ha llevado a que se produzca este inesperado “vector de ataque” físico y, posiblemente, a producir daños importantes en los dispositivos.

“Loapi es un representante muy curioso del mundo del malware de Android. Sus autores han incorporado a su diseño prácticamente casi todas las prestaciones posibles. La razón es muy sencilla: es mucho más fácil comprometer un dispositivo una vez y luego usarlo para diferentes actividades maliciosas, con el objetivo de hacerse ilegalmente con la mayor cantidad posible de dinero. Pero la sorpresa añadida de este malware es que, aunque no puede hacerse con datos de la tarjeta de crédito del usuario, puede llegar a destruir su teléfono. No es algo que normalmente se espere de un troyano Android, incluso de uno sofisticado”, comenta Nikita Buchka, experto de seguridad de Kaspersky Lab.

Según Kaspersky Lab, Loapi puede que tenga alguna relación con Trojan.AndroidOS.Podec. Ambos troyanos recopilan el mismo tipo de información para el servidor de comando y control. Y ambos tienen también métodos de ofuscación similares.

Los analistas recomiendan a los usuarios que sigan las siguientes medidas de precaución para proteger sus dispositivos y datos personales ante un posible ciberataque:

• Deshabilitar la posibilidad de instalar aplicaciones cuyo origen no sea las tiendas de aplicaciones oficiales.

• Mantener actualizada la versión del sistema operativo del dispositivo, disminuyendo las posibles vulnerabilidades en el software y reduciendo así el riesgo de ser víctimas de ataques.

• Instalar una solución de seguridad probada para proteger el dispositivo ante ciberataques.

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.

 

 
Perfil profesional

Política de seguridad de las empresas, esa gran desconocida para los trabajadores españoles

Al igual que las amenazas, el gran enemigo de las empresas es el desconocimiento de sus políticas de seguridad por parte de los empleados. Al menos es la conclusión a la que llega un reciente estudio elaborado por Kaspersky Lab y B2B International. Conclusión palmaria: sólo un 14% de los empleados encuestados en España es plenamente consciente de las...

Perfil profesional

Claves para minimizar los ciberataques en 2018

La ciberdelincuencia se ha convertido en uno de los crímenes más rentables del siglo XXI. Lo saben las empresas y también los usuarios, que ponen todo de su parte para evitar ser víctimas de las fechorías de los ciberdelincuentes? O no. Porque siempre hay quien baja la guardia, de ahí la necesidad de refrescar una serie de consejos....