Ransomware de dispositivos móveis Koler ‘police’

DEFINIÇÃO SOBRE O VÍRUS

Também chamado de: Trojan.AndroidOS.Koler.a.
Tipo de vírus: Ransomware (em dispositivos móveis)

O que seria?

Koler é uma parte oculta da campanha maliciosa que introduziu o ransomware Koler 'police' em dispositivos Android em abril de 2014. Esta parte inclui alguns programas ransomware com base no navegador e um kit de exploit.

Quem está por trás dos ataques costuma empregar um esquema incomum para ler os sistemas das vítimas e aplicar ransomware personalizado, com base no local e no tipo de dispositivo: móvel ou PC. A infraestrutura de redirecionamento é a próxima etapa, depois que uma vítima acessa um dos, no mínimo, 48 sites pornográficos maliciosos usados por operadores do Koler. O uso de uma rede pornográfica para esse tipo de ransomware não é coincidência: as vítimas costumam sentir mais culpa quando acessam esse tipo de conteúdo, por isso pagam a suposta multa das "autoridades".

Desde 23 de julho, o componente móvel da campanha foi interrompido, pois o servidor de comando e controle começou a enviar comandos de "Desinstalação" para as vítimas, o que excluía efetivamente o aplicativo malicioso. No entanto, o restante dos componentes maliciosos de usuários de PC, incluindo o kit de exploits, ainda está ativo.

Detalhes sobre o vírus

48 sites pornográficos redirecionam usuários ao canal central que usa o Sistema de distribuição de tráfego (TDS) Keitaro para redirecionar novamente os usuários. Dependendo do número de condições, esse segundo redirecionamento pode gerar três cenários maliciosos diferentes:

- Instalação do ransomware Koler de dispositivos móveis. No caso de envolvimento do dispositivo móvel, o site automaticamente redireciona o usuário ao aplicativo malicioso. Mas o usuário ainda precisa confirmar o download e a instalação do aplicativo, chamado animalporn.apk, que, na verdade, é o ransomware Koler. Ele bloqueia a tela de um dispositivo infectado e solicita um resgate entre US$ 100 e US$ 300 para o desbloqueio. O malware exibe uma mensagem traduzida da "polícia", o que o torna mais realista.

- Redirecionamento para qualquer um dos sites de ransomware do navegador. Um controlador especial verifica se (i) o agente usuário é de um dos 30 países afetados, (ii) o usuário não é do Android e (iii) a solicitação não contém agente de usuário do Internet Explorer. Se as três respostas forem positivas, o usuário vê uma tela de bloqueio idêntica à usada nos dispositivos móveis. Não há infecção neste caso, apenas uma janela pop-up que exibe um modelo de bloqueio. Entretanto, o usuário é capaz de evitar facilmente o bloqueio com uma simples combinação das teclas alt+F4.

- Redirecionamento para um site que contém o Kit de exploits Angler. Se o usuário usar o Internet Explorer, a infraestrutura de redirecionamento usada nesta campanha o enviará para sites que hospedam o Kit de exploits Angler, que carrega exploits do Silverlight, Adobe Flash e Java. Durante a análise da Kaspersky Lab, o código do exploit funcionou completamente, mas não enviou qualquer carga, o que pode mudar futuramente.

Recomendações para manter a segurança

• Lembre-se: você nunca receberá mensagens oficiais de "resgate" da polícia, então jamais pague qualquer quantia;
• Não instale aplicativos que você encontra enquanto acessa um site;
• Não acesse sites que você não conheça;
• Use uma solução antivírus confiável.

Outros artigos e links relacionados a ransomware Koler 'police' de dispositivos móveis

• Vírus CosmicDuke
• Cavalo de Troia Shylock Banking (ataque por navegador)
• Kaspersky Internet Security