Android-Trojaner Loapi kann Akku beschädigen

Kaspersky hat eine neue Trojaner-Familie entdeckt, die Nutzer von Googles Mobilbetriebssystem Android bedroht. Die Loapi genannte Malware verfügt nach Angaben des Sicherheitsanbieters über eine „komplizierte modulare Architektur“, was ihr eine Vielzahl schädlicher Aktivitäten ermöglichen soll: Kryptowährungen schürfen, unerwünschte Werbung einblenden und DDoS-Angriffe ausführen. Aufgrund des großen Funktionsumfangs gibt Kaspersky dem Trojaner den Spitznamen „Jack of all Trades“ (deutsch: Hansdampf in allen Gassen).

Verteilt wird Loapi in erster Linie über schädliche Werbung für Sicherheitsprodukte und Porno-Websites, die Nutzer zu Web-Ressourcen unter der Kontrolle der Angreifer leitet. Statt jedoch eine Sicherheits- oder Porno-App zu laden, landet Loapi nach einem Klick auf eine der Anzeigen auf dem Smartphone oder Tablet und verlangt nach der Berechtigung zur Einrichtung eines Geräteadministrators – je nach gewählter App im Namen einer bekannten Sicherheitslösung wie Avira oder AVG.

Um diese auch zu erhalten, wird sie bei Ablehnung in einer Schleife immer wieder eingeblendet, bis der Nutzer schließlich zustimmt. Darüber hinaus prüft der Trojaner, ob das Gerät gerootet wurde. Die möglicherweise verfügbaren Root-Rechte nutzt Loapi jedoch nicht. Kaspersky vermutet, dass diese Funktion erst mit einer künftigen Variante aktiviert wird.

Nach Erhalt der Administrator-Rechte simuliert Loapi die Funktion einer Sicherheits-App oder, im Fall einer Porno-Anwendung, versteckt sein Icon im App-Drawer. Zudem wehrt sich Loapi aktiv, sollte der Nutzer nachträglich versuchen, die Administrator-Rechte zu entziehen. Der Trojaner sperrt in dem Fall den Bildschirm und schließt das Fenster mit dem Menü zur Verwaltung der Geräteadministratoren.

Loapi verbirgt sich hinter Werbung für Sicherheits- und Porno-Apps (Bild: Kaspersky).

Darüber hinaus bezieht Loapi von seinem Befehlsserver im Internet eine Liste mit Anwendungen, die den Trojaner als solchen identifizieren können. Wird eine dieser Apps auf dem Gerät gefunden, stuft Loapi sie als schädlich ein und fordert den Nutzer auf, sie zu deinstallieren. Auch diese Warnmeldung zeigt Loapi in einer Schleife an, bis die App entfernt wurde.

In seinem Blog beschreibt Kaspersky zudem fünf Module des Trojaners. Das Werbemodul blendet Video-Anzeigen und Banner-Werbung ein, öffnet bestimmte URLs, legt Verknüpfungen auf dem Startbildschirm an und öffnet bestimmte Seiten in Sozialen Netzwerken wie Facebook und VK. Das SMS-Modul wiederum schickt und empfängt Kurznachrichten, um mit dem Befehlsserver der Hintermänner zu kommunizieren. Um seine Aktivitäten zu verbergen, ist es in der Lage, Nachrichten aus dem Eingang und Ausgang zu löschen.

Ein Web-Crawling-Modul wiederum führt versteckten JavaScript-Code auf Websites aus, um per WAP-Billing Abonnements abzuschließen. Fordert der Anbieter des Abonnements eine Bestätigung per SMS an, fängt das SMS-Modul die Nachricht ab und antwortet automatisch. Ein Proxy-Modul wiederum richtet einen Proxy-Server ein, der für die Umleitung von HTTP-Anfragen benötigt wird. Damit lassen sich laut Kaspersky DDoS-Angriffe auf bestimmte Ressourcen organisieren. Das fünfte Modul schließlich schürft die Kryptowährung Monero.

„Loapi ist ein interessanter Vertreter aus der Welt der schädlichen Android-Apps. Seine Entwickler haben fast das gesamte Spektrum der Techniken für Angriffe auf Geräte implementiert“, lautet das Fazit von Kaspersky. „Nur Spionage fehlt, aber die modulare Architektur des Trojaners bedeutet, dass es jederzeit möglich ist, diese Funktion hinzuzufügen.“

Ein Testgerät von Kaspersky hat der Trojaner Loapi so stark belastet, dass sich dessen Akku nach zwei Tagen aufblähte (Bild: Kaspersky).

Außerdem macht Kaspersky noch auf eine mögliche „Nebenwirkung“ des Trojaners Loapi aufmerksam. Die Belastung eines Testgeräts durch das Mining-Modul und den Proxy-Server war nach zwei Tagen so groß, dass sich der Akku aufblähte und das Gehäuse verformte.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de