Una Al Dia

Correo de Bbva.com - una-al-dia (29/12/17) Loapi: el malware para A... https://mail.google.com/mail/u/0/?ui=2&ik=ae7cd788c4&jsver=QCCjy...
JUAN CARLOS CIFUENTES CIFUENTES DELGADO <juancarlos.cifuentes@bbva.com>
una-al-dia (29/12/17) Loapi: el malware para Android que puede freír tu batería
Hispasec | una-al-día <noticias@hispasec.com> 29 de diciembre de 2017, 13:03
Responder a: Hispasec | una-al-día <noticias@hispasec.com>
Para: juancarlos.cifuentes.contractor@bbva.com
29/12/17
Loapi: el malware para Android que puede freír tu
batería
Loapi es un malware multipropósito que permitiría a los atacantes minar la
criptodivisa 'Monero', lanzar ataques DDoS o suscribir a las víctimas a servicios
de pago.
Esta nueva familia fue descubierta por 'Kaspersky Lab' distribuido en forma de aplicaciones
legítimas:
1 de 6 05/01/2018 11:38 a.m.

Muestras de Loapi falseando aplicaciones legítimas. Fuente: https://securelist.com
Mediante campañas de mensajes SMS, publicidad y otras técnicas de spam el virus

consiguió distribuirse entre un gran número de víctimas.
Características
La arquitectura modular de este malware hace que sea muy versátil y permita realizar todo
tipo de acciones fraudulentas:
Minar cripto-monedas.
Mostrar publicidad.
Enviar/Recibir SMS.
Lanzar ataques DDoS.
Navegar por la web, y suscribir a la víctima a servicios de pago.
Proceso de infección
Tras instalar la aplicación fraudulenta el malware trata de escalar permisos en el

dispositivo, pidiendo permisos de administrador en bucle hasta que el usuario los
acepta. Posteriormente, 'Trojan.AndroidOS.Loapi', comprueba si el dispositivo está
'rooteado' (aunque esta versión no hace uso en ningún momento de estos privilegios).
Después de obtener los permisos necesarios se esconde en el sistema, bien ocultando el

icono en el menú o simulando ser una aplicación de antivirus como la que vemos a
continuación:
2 de 6 05/01/2018 11:38 a.m.

Capturas de la aplicación fraudulenta. Fuente: https://securelist.com
El troyano además implementa mecanismos para protegerse y evitar ser desinstalado:

puede actualizar de forma remota una lista negra de aplicaciones que podrían suponer una
amenaza y engañar al usuario para que sean desinstaladas. Además de cerrar la ventana
de ajustes para evitar que el usuario pueda revocar los permisos.
3 de 6 05/01/2018 11:38 a.m.

Mensaje fraudulento para desinstalar un AV legítimo. Fuente: https://securelist.com
Entre las diferentes acciones que se pueden llevar a cabo con este malware, cabe destacar
la opción de minado de cripto-monedas, que podría dejar nuestro dispositivo Android
inutilizado debido al uso tan intensivo de CPU.
4 de 6 05/01/2018 11:38 a.m.

Estado de la batería tras 48h de funcionamiento. Fuente: https://securelist.com
Para evitar este tipo de amenazas se recomienda siempre instalar las aplicaciones del
repositorio oficial de Google Play.
Francisco Salido
fsalido@hispasec.com
Más información:
Jack of all trades

https://securelist.com/jack-of-all-trades/83470/
Por noreply@blogger.com (Francisco Salido)
5 de 6 05/01/2018 11:38 a.m.

Leer en el navegador
Artículos recientes:
Mozilla corrige vulnerabilidades en Thunderbird
Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones
Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa
Vulnerabilidad en GoAhead afecta a miles de dispositivos IoT
Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai
Hispasec 2017
una-al-día, por Hispasec Sistemas, se distribuye bajo una Licencia

Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.
Basada en una obra en http://unaaldia.hispasec.com.
Recibes este correo porque te suscribiste nuestra lista de distribución una-al-día.
Lista de correo:
Hispasec
C/Trinidad Grund, 12 1ºA
Malaga, Málaga 29001
Spain
Add us to your address book
¿Quieres cambiar como recibes estos correos?

Puedes cambiar tus preferencias o anular tu subscripción.
6 de 6 05/01/2018 11:38 a.m.

Una Al Dia

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Una Al Dia

Cargado por

Copyright:

Formatos disponibles

Correo de Bbva.com - una-al-dia (29/12/17) Loapi: el malware para A... https://mail.google.com/mail/u/0/?ui=2&ik=ae7cd788c4&jsver=QCCjy...

JUAN CARLOS CIFUENTES CIFUENTES DELGADO <juancarlos.cifuentes@bbva.com>

1 de 6 05/01/2018 11:38 a.m.

Muestras de Loapi falseando aplicaciones legítimas. Fuente: https://securelist.com

Mediante campañas de mensajes SMS, publicidad y otras técnicas de spam el virus

Tras instalar la aplicación fraudulenta el malware trata de escalar permisos en el

Después de obtener los permisos necesarios se esconde en el sistema, bien ocultando el

2 de 6 05/01/2018 11:38 a.m.

Capturas de la aplicación fraudulenta. Fuente: https://securelist.com

El troyano además implementa mecanismos para protegerse y evitar ser desinstalado:

3 de 6 05/01/2018 11:38 a.m.

Mensaje fraudulento para desinstalar un AV legítimo. Fuente: https://securelist.com

4 de 6 05/01/2018 11:38 a.m.

Estado de la batería tras 48h de funcionamiento. Fuente: https://securelist.com

Jack of all trades

Por noreply@blogger.com (Francisco Salido)

5 de 6 05/01/2018 11:38 a.m.

Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones

Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa

Vulnerabilidad en GoAhead afecta a miles de dispositivos IoT

Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai

una-al-día, por Hispasec Sistemas, se distribuye bajo una Licencia

Recibes este correo porque te suscribiste nuestra lista de distribución una-al-día.

Add us to your address book

¿Quieres cambiar como recibes estos correos?

6 de 6 05/01/2018 11:38 a.m.

También podría gustarte