0001ノチラ ★
2017/12/26(火) 03:00:30.95ID:CAP_USERLoapiは、バナー広告から偽のアンチウイルスアプリやアダルトコンテンツアプリをダウンロードするところから感染するという。アプリは実際にはLoapiで、インストールすると管理者権限を要求される。この要求通知は、利用者が根負けしてOKをタップ承諾するまで繰り返し表示されるという。
この許可した管理者権限を後で取り消そうとしても、画面がロックされ、設定ウィンドウが閉じられる。また、アンチウイルスアプリなど、デバイスを保護するアプリをダウンロードしようとした場合には、そのアプリはマルウェアだとして削除を求める通知が表示され、ユーザーが諦めるまで通知が延々と表示されるという。
https://pc.watch.impress.co.jp/img/pcw/docs/1098/829/02_m.png
Loapiはモジュール構造のため、リモートサーバーから指示を受けることで機能を切り替え、必要なアドオンを勝手にダウンロード、インストールすることができるのが特徴。
発見されているうちの1つがアドウェアモジュールで、バナー広告や動画広告を表示させるほか、別アプリのダウンロード/インストール、指定リンクへのアクセス操作、Facebook、InstagramなどSNSページを開くといった機能があり、広告表示以外にも、アプリの評価を引き上げさせるといった機能も備えているとみられている。
またSMSを乗っ取り、勝手に有料サービスに登録してしまうといったモジュールや、DDoS攻撃を行なわせるといったモジュールがあるという。
変わったモジュールとしては、スマートフォンで暗号通貨「Monero」のマイニングを実行させるというものもあり、プロセッサに長時間大きな負荷がかかるため、スマートフォンがオーバーヒートしてしまう可能性があるという。Kasperskyが動作を分析するために使った検証用のスマートフォンは、Loapiに感染してから48時後にバッテリのオーバーヒートで破損してしまったという。
Loapiは、リモートサーバーからの指令で新たなモジュールをダウンロード可能になっており、将来的にランサムウェアやスパイウェア、バンキング型トロイの木馬などに変化する可能性があるという。実際、同社では、Loapiの現行バージョンのコードのなかに、将来的な実装が意図されている機能を確認しているとする。
同社では、対策として、アプリをインストールする場合は、Playストアからのインストールにかぎること、設定から「提供元不明のアプリ」のインストールを無効にしておくこと、本当に必要なもの以外はインストールしないこと、信頼に足るAndroid向けウイルス対策アプリをインストールし、定期的にデバイスをスキャンすることを推奨している。
https://pc.watch.impress.co.jp/docs/news/1098829.html
