Loapi распространяется с помощью рекламных кампаний, которые предлагают скачать его с сайтов злоумышленников. Сейчас таких ресурсов около 20 — сайты замаскированы под страницы антивирусных решений, а также сайты для взрослых. Скачиваемый с них троянец также маскируется под мобильные защитные решения или приложения для взрослых.
После установки Loapi запрашивает права администратора, причем отказаться от предоставления прав нельзя — зловред просто не позволяет выбрать другую опцию. Далее вирус начинает активировать свои модули:
- рекламный — используется для агрессивного показа рекламы, а также скрытой накрутки сайтов и аккаунтов в социальных сетях;
- SMS — используется для рассылки и перехвата сообщений, в частности, пересылки SMS злоумышленникам, удаления входящих и отправленных сообщений и т.п. ;
- веб-краулер — служит для оформления жертвы на платные подписки;
- прокси — позволяет злоумышленникам выполнять HTTP запросы с зараженного устройства, что, в том числе, служит для организации DDoS-атак;
- майнер — используется для майнинга криптовалюты Monero (XMR).
Если пользователь пытается забрать у Loapi права администратора, то он блокирует экран устройства и закрывает окно с настройками. Кроме того, Loapi умеет отслеживать антивирусы на смартфоне жертвы, и настойчиво требует их удалить. Троянец будет показывать требования удалить антивирус снова и снова — до тех пор, пока пользователь не согласится.
И, наконец, самое опасное. Эксперты обнаружили, что модуль генерации трафика и майнер настолько сильно «загружают» смартфон, что аккумулятор устройства буквально «взрывается» через два дня работы троянца. Они даже приложили фото:
На данный момент «Лаборатория Касперского» зафиксировала более 45 тысяч попыток заражения зловредом Loapi.