Loapi, el troyano capaz de destrozar tu móvil mediante cryptojacking

Hace un tiempo compartía y analizaba también en Steemit el caso de Coinhive o Minr (podéis leerlo aquí), malware igualmente dañino diseñado para la minería de criptodivisas, principalmente Monero y como las API de estos códigos recomiendan usos de CPU de 70% en dispositivos móviles. El caso de Loapi es muy similar en cuanto a la función y los propósitos, sin embargo nos encontramos con un código llevado al extremo, que es capaz de poner tu procesador al 100% y acabar destrozando tu dispositivo en cuestión de poco tiempo.

Los investigadores expertos en seguridad de Kaspersky Labs parece que han descubierto que Loapi puede proceder de una cepa llamada Podec (Trojan-SMS.AndroidOS.Podec), la cual que se usaba para eludir AoC (el aviso de carga que notifica a los usuarios el precio de un servicio y requiere una autorización, antes de realizar el pago) y CAPTCHAs para suscribir a víctimas a servicios de SMS con tarifas premium, que evidentemente hace ganar a los delincuentes buenas sumas de dinero.

¿Cómo se enmascara Loapi y que funciones podría desempeñar?

En este caso Loapi se enmascara en anuncios y aplicaciones falsas, principalmente anuncios pornográficos y de aplicaciones de software antivirus. Además el malware provoca gran número de ventanas emergentes hasta conseguir obtener derechos de administrador, obligando a los usuarios a desinstalar los antivirus de sus móviles y todas aquellas aplicaciones que el usuario tenga contra el malware, si el usuario no cede, el mensaje se muestra de forma continua hasta que se logra su objetivo.

Kaspersky indica que por su estructura modular se le pueden agregar funcionalidades en cualquier momento, se podría suscribir a servicios de pago, incluso si se requirieran solicitudes vía SMS de seguridad, ya que tiene habilitado un programa capaz de leer estos números y eliminar los mensajes en el instante.

Además puede inhabilitar tu móvil mediante ataques DDos y descargar nuevos módulos para convertirlo en resumen en todo lo que quieran que sea, por ello su daño es de proporciones muy preocupantes.

“Los creadores del programa lo han equipado con casi todo el espectro de posibilidades de ciberataques. Lo único que falta es que espíe al usuario, pero la arquitectura modular de este troyano indica que se podría agregar esta funcionalidad en cualquier momento”, indicaron investigadores de Kaspersky Lab

¿Qué factores pueden determinar que estamos sufriendo cryptojacking?

Si vuestro terminal se calienta en exceso, recordad apagar las conexiones cuando no las estéis usando, cerrar los juegos cuando hayáis terminado de jugar y mantener el teléfono en un lugar fresco y seco, lejos de la incidencia directa de los rayos del sol, puesto que eso hace que aumente la temperatura.

Sabiendo de donde procede es muy importante, tener en cuenta que la temperatura óptima por lo general en baterías de Ion-Litio debe estar sobre 15ºC en standby y con temperaturas de entre 20º y 25ºC de media. La máxima recomendada para que un móvil corriendo bajo Android no sufra, se encuentra entre 45º y 50º, a partir de ahí se activa un limitador de seguridad y además a temperaturas altas ya comenzarás a notar que empieza a bajar su rendimiento (procesador más lento, funciones alteradas como los ajustes de la pantalla…), aunque este factor por si sólo no indica que estés siendo víctima de un troyano, ya que muchos juegos calientan en exceso el terminal.

Imagen de Kaspersky

Es importante dejar que se enfríe el dispositivo o bien extrayendo la batería (si es extraíble) o apagando el dispositivo y dejando que recupere su temperatura óptima. Si además del indicador de temperatura por encima de los 50º, notas que tu dispositivo funciona más lento de lo habitual, una de las mayores posibilidades a día de hoy es que esté infectado por este u otros troyanos similares.

Para eliminar Loapi es necesario iniciar en modo seguro y borrar por completo el rastro de este troyano, para deshacer todos sus derechos de administrador.

¿Cómo protegerte del troyano Loapi?

Siempre es posible sufrir un ataque pero hay una serie de medidas importantes a tomar, en este texto que previamente se compartió en steemit pone algunas, pero además debes de tener en cuenta, instalar aplicaciones solo de fuentes fiables, mantener un antivirus de fiabilidad demostrada activado y sobretodo inhabilitar la instalación de aplicaciones que puedan venir de fuentes no conocidas y por lo tanto arriesgadas (en Android está disponible en ajustes, seguridad).

Bloqueador de cryptojacking NoCoin

A parte de disponer de un antivirus, existe para los navegadores una extensión llamada Nocoin desarrollada por Rafael Keramidas este año 2017 para navegadores como Chrome y Firefox, su lista negra es bastante completa y cuenta con diversos colaboradores (Desarrollo Open Source en Github). Aunque los navegadores ya trabajan para implementar estas barreras en sus actualizaciones, algunos de ellos ya lo han realizado en sus actualizaciones, es importante conocer las alternativas.

Según ESET y Kaspersky, Loapi no está presente como tal en Google Play, pero si que se puede encontrar malware similar que puede proceder del mismo troyano como por ejemplo “StorySaver” y “Crypto Monitor”, diseñadas según este análisis para activar aplicaciones de banca, en el caso concreto anunciado, de banca polaca.

Documentación y fuentes técnicas: