功能强大的恶意软件Loapi 竟然可摧毁安卓手机

卡巴斯基实验室发现一款新型功能强大的恶意软件，可进行加密货币挖矿、DDoS攻击等恶意活动，更为令人惊诧的是，它甚至能造成安卓手机的电池鼓胀，两天的测试之后竟然弄坏了测试用的安卓手机。

该恶意软件被命名为“Loapi”，其模块化架构的复杂程度，令卡巴斯基实验室的研究人员直呼该恶意软件是“万能博士”，且此架构与他们之前见过的任何恶意软件都不相同。该恶意软件含有广告模块、短信模块、网络爬虫模块、代理模块和加密货币Monero挖矿模块。同时，Loapi在保护自身上也非常激进。

Loapi是恶意安卓App世界中一个非常“有意思”的代表。其创建者几乎实现了设备攻击的全部技术：让用户订阅付费服务，向任意号码发送短信，从显示广告中产生流量并赚钱，利用设备的计算能力挖矿加密货币，还有以机主的名义在网上从事各种活动。唯一缺少的功能是用户监视，但该木马的模块化架构意味着，此类功能可以随时添加。

恶意软件架构

Loapi的创建者，可能与2015年策划了安卓恶意软件Podec的网络暴徒是同一批。研究人员发现，Loapi通常伪装成流行反病毒解决方案甚至著名黄色站点的App，混入第三方应用商店中。

恶意文件被下载并安装后，该App利用弹出窗口获取设备管理员权限。卡巴斯基演示了所谓的“安全应用”要求用户激活管理员权限的例子。获取到管理员权限后，该恶意App不是隐藏自身图标，就是假装执行“安全应用”该做的事，比如启动病毒扫描。

Loapi恶意软件模块

其中一个模块用于滥发广告，打开各种URL——包括流行社交网络中的页面，以及显示视频广告和横幅。

代理模块可用于发起DDoS攻击，挖矿模块则会强制安卓设备挖掘Monero加密货币。

另一个模块专注操纵短信，利用短消息与攻击者的命令与控制服务器(C&C)通联。该模块还会删除收件箱和已发送文件夹中的短信，让用户对设备与C&C服务器的通联信息一无所觉。

还有一个模块与网络爬虫有关，使用隐藏JavaScript脚本给用户订阅各种服务。即便订阅操作需要短信验证，Loapi也会为机主代劳。研究人员表示，在24小时的实验中，该模块与广告模块一起，在一台设备上打开了约2.8万个不同URL。

Loapi激进的自我保护

说到自我保护，Loapi积极阻止任何试图撤销设备管理员权限的尝试，包括从C&C服务器接收可能威胁到该恶意软件的App列表。如果这种App被安装或启动了，Loapi会显示虚假消息，宣称检测到“恶意软件”，要求用户将该App卸载掉。受害者将被该弹出消息淹没，除非选择卸载。

虚假信息

“

这条消息会循环显示，这样一来，即便用户不同意卸载，不断显示的消息也会让用户最终点头，删除掉可能威胁到该恶意软件的应用。

想要彻底清除Loapi，用户需要以安全模式启动。否则，该恶意软件会继续锁定设置，让用户无法停用管理员权限。

2天内毁掉了一台安卓手机

研究人员展示了分析该恶意软件时使用的安卓手机。2天的测试过后，手机完全被毁坏。

“

由于挖矿模块和所产生流量的频繁加载，电池发生了鼓胀，手机外壳都已经变形。