Inonder l’écran d’un utilisateur de smartphone Android de publicités intempestives, participer à des attaques par déni de service distribué, envoyer des SMS vers n’importe quel numéro, souscrire de façon furtive à des offres payantes, voilà la litanie d’actions malicieuses à mettre sur le compte de « Loapi », un malware découvert par les chercheurs en sécurité de la firme Kaspersky. Ce cheval de Troie est également capable de transformer un terminal en dispositif de minage de moneros. L’activité est d’une intensité telle qu’elle provoque la surchauffe de la batterie et des composants électroniques. La preuve en images avec un smartphone sacrifié par les chercheurs de la firme de sécurité russe pour les besoins de l’analyse du code malveillant.
Quant à ce qui est de savoir ce qui pourrait conduire un utilisateur dans cette situation il faut tout de suite souligner qu’il s’agit de l’installation d’applications dont la provenance est douteuse. D’après ce que rapportent les chercheurs de Kaspersky, Loapi est distribué par le biais de canaux autres que le Google Play Store. On parle ici de campagnes publicitaires et de spam par SMS qui tentent de rediriger les utilisateurs vers un site de téléchargement. L’utilisateur lambda y échappe difficilement, tant il est bombardé d’écrans l’incitant à poser l’acte fatal. Le malware déploie ensuite ses cinq modules sur le smartphone cible : un proxy HTTP, un webcrawler, un module SMS, un module publicitaire et le module de minage dont le code est d’ailleurs visible à la suite.
Loapi sait également assurer sa survie une fois qu’il s’est accaparé d’un terminal. Les chercheurs de la firme rapportent qu’il est à même de détecter le téléchargement et l’installation d’une solution antivirus. Dans de telles conditions, il génère une alerte destinée à inciter l’utilisateur à procéder à la désinstallation du facteur gênant. Là encore, l’utilisateur se voit servir le message en boucle jusqu’à ce qu’il cède. Loapi sait aussi protéger le menu Paramètres des « intrusions » de l’utilisateur qui tenterait de revoir ses privilèges à la baisse. Noter à ce propos que le cheval de Troie dispose de privilèges administrateur qu’il met hors de portée de l’utilisateur en procédant à une fermeture systématique du menu concerné.
D’après les chercheurs de Kaspersky, il ne manque que des fonctions d’espionnage à ce malware pour apporter un plus à son degré de complétion et de sophistication déjà remarquable. On devrait toutefois s’attendre à une telle modification dans une version ultérieure au vu de la modularité de son architecture.
Dans de telles conditions, l’utilisateur pourrait bien être tenté de procéder à une réinitialisation complète du système. Toutefois, il faut souligner la possibilité de se familiariser avec le « mode sans échec » qui peut permettre de se débarrasser d’un tel intrus sans perdre ses données.
