Loapi : un malware Android multi-usage qui peut aller jusqu’à la surchauffe du smartphone !

Voilà de quoi, peut-être inciter à regarder deux fois avant de cliquer sur « télécharger » (?) : outre son usage dangereusement multi-tâche, poussé à son extrême suivant la fonctionnalité usitée, il pourrait embraser votre précieux smartphone ; physiquement.

 

 

Selon le billet de Kaspersky Labs – sur le blog officiel dédié, SecureList.com – publié le 18 Décembre dernier, ce petit programme malicieux serait disséminé dans des applications empruntant les traits de logos officiels tels que « des solutions d’antivirus populaires » ou encore des sites pornographiques connus du genre… Bref, tout pour duper l’utilisateur qui croit télécharger une source officiel alors que, comme expliqué dans le billet, le lien n’est pas issue du store officiel d’Android (Google Play Store) mais plutôt de sources officieuses telles que des campagnes de publicités via spams ou encore via SMS avec lien cliquables.

Une fois l’application installée, celle-ci demande allégrement les droits administrateurs (sans aller jusqu’au mode « root » : là aussi Kaspersky anticipe les prochaines évolutions de ce malware à ce niveau…) et officie à travers divers outils / fonctions tout en protégeant ses arrières via différents verrous sécuritaires (du point de vue du malware) comme l’empêchement pour l’utilisateur de prendre la main sur la configuration des permissions-profil(s), en verrouillant l’écran et en fermant la fenêtre de configuration ainsi ouverte voire en alertant l’utilisateur qu’un malware se cache dans une application sécuritaire type anti-virus, pour empêcher l’éviction impromptue de Loapi. Côté fonctionnement technique, l’infernal malware fonctionne via un fichier JSON envoyé pour analyse vers un serveur C&C (command and control) permettant d’actualiser en conséquence (suivant les actions-utilisateurs comme l’installation éventuelle d’un anti-virus) avec des signalements pour masquer tout obstacle au programme vérolé.

De là, côté outils et fonctionnalités, Loapi a un univers assez vaste, allant des campagnes publicitaires avec liens spécifiques, notifications, raccourcis-icônes, ouverture de pages sociales, envoi et réception (toujours en C&C) de liens depuis la messagerie (SMS), du Web crawling (souscription à un abonnement payant automatique : Kaspersky précise que certains opérateurs mobiles demande une confirmation à l’utilisateur, en général, avant de valider l’action… via SMS : dans le cas d’un smartphone infecté, le SMS sera réceptionné par le serveur C&C, validant ainsi l’action), attaque DDos (via requête HTTP : proxy), cryptomonnaie Monero (deniers numériques de(s) auteur(s) du malware ?).

En aparté, il a été relevé officieusement (rien de véritablement concret pour l’heure, du moins, officiellement) une relation entre ce malware et Podec, un autre Trojan découvert en 2015 par l’équipe de Kaspersky Labs qui soupçonnait à l’époque un des développeurs d’Android d’être à l’origine de ce malware ; le point commun : entre-autres (comme des similitudes au niveau du code) des adresses IP similaires aux deux affaires et issues de la même localisation. Reste que dans l’absolu, la prudence recommande de ne télécharger que depuis le store officiel les applications souhaitées et dans le doute on ne clique pas pour la santé de ses données et la santé physique de son smartphone… A veiller !

 

Source : SecureList.com – Blog Kaspersky Labs – Billet du 18 Décembre 2017 – Loapi.