הנוזקה שתתיך את מכשיר הטלפון שלכם?

נוזקה חדשה שנחשפה פוגעת בסמארטפונים מבוססי אנדרואריד (Android) והיא בעלת שתי תכונות ייחודיות: האחת היא שיש לה יכולות מרובות לגרום נזקים, לצד מנגנון הגנה עצמית נגד אנטי וירוסים. השנייה היא שהנוזקה עלולה להסב לסוללת המכשיר נזק רב – מהתחממות ועד להתכת המכשיר.

הנוזקה, Loapi, נחשפה על ידי קספרסקי (Kaspersky). מדובר בנוזקה חדשה לאנדרואיד, שהייחוד שלה הוא אינספור אפיונים ויכולות פוגעניות, שמוטמעות על גבי סוס טרויאני אחד. דפוס הפעולה הנפוץ של הנוזקה הוא שהקורבנות רואים באנר פרסומת, שמזמין אותם להוריד אפליקציה מעניינת. כמה ימים לאחר ההתקנה הם מתחילים לחשוד שמשהו לא בסדר – המכשיר מתחמם, עובד לאט, אבל הם לא יודעים למה. רוב הסיכויים, קובעים חוקרי קספרסקי, שהמכשיר נפגע על ידי סוס טרויאני לניידים, המנצל את המכשיר לטובת המפעילים הזדוניים שלו, באמצעות ביצוע מתקפות מניעת שירות מבוזרות (DDoS), חיובי WAP ועוד.

הנוזקה Loapi. מקור: קספרסקי

ל-Loapi, כך לפי חוקרי ענקית האבטחה, יש מודולים מרובים – החל מכרייה של מטבע קריפטוגרפי ועד למתקפות DDoS. הודות לארכיטקטורה המודולרית שלו, ניתן להוסיף לו אינספור פונקציות זדוניות נוספות. "מדובר בנוזקה יוצאת דופן ועוצמתית", מציינים החוקרים.

Loapi מופצת באמצעות קמפיינים פרסומיים ברשת, כשהיא מחופשת לפתרונות אנטי וירוס או לאפליקציות למבוגרים. ברגע שהותקנה, האפליקציה מבקשת זכויות אדמין למכשיר ואז מייצרת תקשורת חשאית עם שרתי הפיקוד והשליטה, כדי להתקין מודולים נוספים. הארכיטקטורה כוללת את המודולים הבאים: מודול Adware, המשמש להצגה אגרסיבית של פרסום על מכשיר המשתמש; מודול SMS, המשמש כדי לבצע פעולות שונות עם הודעות טקסט. הוא יחביא את ההודעות המתקבלות מהמשתמש, יגיב להם כנדרש ואז יסיר את כל הראיות; מודול סורק רשת, שרושם את המשתמש לשירותים בתשלום ללא ידיעתו; מודול Proxy, המאפשר לתוקפים להוציא בקשות HTTP בשם המכשיר (פעולות אלה יכולות לבצע מתקפות DDoS); ומודול כורה (Monero) – המשמש כדי לכרות את המטבע הקריפטוגרפי בשם זה.

יכולות ההגנה העצמית של הנוזקה

עוד מציינים החוקרים כי "יותר מכך, ברגע שהמכשיר נפגע, לא קל למחוק את האפליקציה ולהחזיר את המכשיר למצב פעילות רגיל. זאת, כי נוזקת Loapi מסוגלת להגן על עצמה. ברגע שהקורבן ינסה לקחת את זכויות האדמין של המכשיר, הנוזקה תחסום את המסך ותסגור את החלון. בנוסף, Loapi יכולה לקבל משרתי הפיקוד והשליטה רשימה של אפליקציות המסוכנות לה – בדרך כלל פתרונות אבטחה שמסוגלים להסיר אותה. אם אפליקציה שכזו מותקנת, או מופעלת, הנוזקה תציג הודעה מזויפת, שאומרת שנמצאה תוכנה זדונית ומציעה למשתמש את האפשרות להסיר את האפליקציה. ההודעה תוצג פעם אחר פעם, עד שהמשתמש יסכים למחוק אותה".

מעבר להגנה העצמית שמפעילה Loapi, חוקרי קספרסקי מצאו מאפיין מעניין נוסף: מבחנים שנעשו על מכשירי ניידים שונים הראו כי הנוזקה יוצרת עומס עבודה כה גדול על המכשיר הפגוע, עד שהיא גורמת להתחממות המכשיר ואף עלולה לפגוע בסוללה. כותבי הקוד הזדוני בוודאי שאינם מעוניינים בכך, מכיוון שהם מעוניינים להרוויח כמה שיותר כסף באמצעות השארת הנוזקה פעילה זמן רב ככל הניתן. אבל בעיות האופטימיזציה שלה מייצרות בפועל "אפיק תקיפה" פיזי ובלתי צפוי – הגורם נזק למכשיר המשתמש.

לדברי ניקיטה בוצ'קה, מומחה אבטחה מידע בקספרסקי, "Loapi היא דוגמה מעניינת בעולם הקוד הזדוני לאנדרואיד, מכיוון שהכותבים שלה הכניסו בתכנון שלה כמעט כל מאפיין אפשרי. הסיבה לכך היא פשוטה – קל בהרבה לפגוע במכשיר פעם אחת ואז להשתמש בו לפעילויות זדוניות שונות, שנועדו להכניס כסף לעבריינים. נוזקה זו מביאה עמה סיכון בלתי צפוי: גם אם היא לא יכולה לגרום לנזק פיננסי ישיר למשתמש באמצעות גניבת פרטי כרטיס אשראי, היא יכולה פשוט להשמיד את הטלפון. זה לא משהו שמצופה מנוזקה לאנדרואיד, אפילו מאחת מתוחכמת".

מה לעשות?

החוקרים מציעים לנקוט באמצעים הבאים: נטרלו את היכולת להתקין אפליקציות ממקורות שאינם חנויות אפליקציות רשמיות; שימרו על גרסה מעודכנת של מערכת ההפעלה במכשיר כדי להפחית פגיעויות בתוכנה ולהקטין סיכון למתקפה; והתקינו פתרון אבטחה מוכח, כדי להגן על המכשיר שלכם מפני מתקפות סייבר.