Araştırmacılar, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti. Modüler yapısı sayesinde bu zararlı yazılıma daha fazla işlev de eklenebiliyor. Bu olağan dışı ve güçlü zararlı yazılım Loapi olarak adlandırılıyor.
Loapi; bankacılık Truva Atları, kripto madencilik Truva Atları ve benzerleri gibi tek işlevli Android zararlı yazılımlarından çok farklı. Karmaşık bir modüler mimariye sahip olan yazılım sızdığı cihazda neredeye sınırsız işlem yapabiliyor.
Loapi Truva Atı, antivirüs çözümleri veya yetişkin uygulamaları için düzenlenen reklam kampanyalarına gizlenerek yayılıyor. Uygulamalar kurulduktan sonra yönetici haklarına erişim talep ediyor. Ardından ek modüller kurmak için komut ve kontrol sunucularına bağlanıyor.
Mimaride şu modüller bulunuyor:
Birçok farklı özelliğe sahip olan Loapi, kendini koruma becerisine de sahip. Kullanıcı uygulamadaki yönetici haklarını kaldırmaya çalıştığı zaman zararlı yazılım devreye girerek cihazın ekranını engelleyip pencereyi kapatıyor. Bu standart koruma yöntemine ek olarak, Loapi komut ve kontrol sunucularından kendisi için tehlikeli olan uygulamaların bir listesini alabiliyor. Bu listede genellikle zararlı yazılımı ortadan kaldıran güvenlik çözümleri yer alıyor. Kurulu veya çalışan uygulamalardan birisi listedeyse Truva Atı kullanıcıya sahte bir mesajla zararlı bir yazılım bulunduğunu ve uygulamayı kaldırabileceğini söylüyor. Mesaj bir döngü olarak sunuluyor. Böylece kullanıcı uygulamayı silmeyi başta reddetse bile silme işlemi kabul edilene kadar mesaj tekrar tekrar gösteriliyor.
Araştırmada, Loapi’nin kendini korumak için yaptığı bu işlemlerin ilginç bir sonucu da keşfedildi. Rastgele seçilen bir telefonda yapılan testte, zararlı yazılımın çok büyük bir iş yükü oluşturduğu ve bunun sonunda cihazın ısınarak pilinin zarar görebildiği tespit edildi. Geliştiricilerin, zararlı yazılımı olabildiğince uzun süre çalıştırarak daha fazla para elde etme amacı taşıdıkları için bu durumun gerçekleşmesini istemedikleri düşünülüyor. Ancak, zararlı yazılımın optimizasyonuna özen gösterilmemesi bu şekilde bir “saldırı yöntemine” yol açmış durumda ve kullanıcıların cihazlarına ciddi şekilde zarar verebiliyor.
Yapılan araştırmaya göre Loapi, Trojan.AndroidOS.Podec ile bağlantılı olabilir. Her iki Truva Atı da başlangıçta komut ve kontrol sunucusu için benzer bilgileri alıyor. Ayrıca ikisinin de gizlenme yöntemleri birbirine benziyor.
Araştırmacılar, kullanıcıların cihazlarını ve gizli verilerini olası siber saldırılardan korumak için şunları tavsiye ediyor: