VIRUSDEFINITION
Også kaldet: Trojan.AndroidOS.Koler.a.
Virustype: Ransomware (mobil)
Hvad er det?
Koler er en skjult del af den ondsindede kampagne, der introducerede verden for Koler "police" mobil ransomware på Android-enheder i april 2014. Denne del indeholder browserbaseret ransomware og et udnyttelsesværktøj.
De, der stod bag angrebene, brugte et usædvanligt trick til at scanne ofrenes systemer og tilbyde skræddersyet ransomware ud fra lokalitet og enhedstype – mobil eller pc. Omdirigeringsinfrastrukturen er næste skridt, når et offer har besøgt ét af mindst 48 ondsindede pornowebsteder, der benyttes af Kolers operatører. Brugen af pornografiske netværk til denne ransomware er ikke tilfældig: Ofre er mere tilbøjelige til at føle skyld over at gennemse sådan noget indhold og betale den påståede bøde fra "myndigheder".
Siden 23. juli er den mobile del af kampagnen afbrudt, da kommando- og kontrolserveren begyndte at sende "Uninstall"-kommandoer til mobile ofre, der effektivt slettede det ondsindede program. Men resten af de ondsindede komponenter til pc-brugere – herunder udnyttelsesværktøjet – er stadig aktive.
Virusoplysninger
48 pornowebsteder omdirigerer brugere til den centrale hub, der bruger Keitaro Traffic Distribution System (TDS) til at omdirigere brugerne igen. Afhængigt af en række forhold kan denne anden omdirigering føre til tre forskellige ondsindede scenarier:
- Installation af Koler mobil ransomware. I tilfælde af mobilaktivering omdirigerer webstedet automatisk brugeren til det ondsindede program. Men brugere skal stadig bekræfte, at de vil downloade og installere appen – der hedder animalporn.apk – og som faktisk er Koler ransomware. Den blokerer skærmen på en inficeret enhed og kræver en løsesum på mellem $100 og $300 for at låse den op. Malwaren viser en lokaliseret besked fra "politiet", så den virker mere realistisk.
- Omdirigering til et af browserwebstederne for ransomwaren. En speciel kontrolenhed kontrollerer, om (i) brugeragenten er fra et af de 30 berørte lande, (ii) brugeren ikke er en Android-bruger og (iii) om anmodningen ikke indeholder nogen Internet Explorer-brugeragent. Hvis svaret er ja for alle tre, ser brugeren et blokeringsskærmbillede, der er magen til det, der bruges til mobile enheder. Der er ikke nogen inficering i dette tilfælde, bare et pop op-billede, der viser en blokeringsskabelon. Dog kan brugeren nemt undgå blokeringen med en simpel alt+F4-kombination.
- Omdirigering til et websted, der indeholder Angler Exploit Kit. Hvis brugeren benytter Internet Explorer, sender den omdirigeringsinfrastruktur, der anvendes i denne kampagne, brugeren til websteder, der er værter for Angler Exploit Kit, der har udnyttelsesværktøjer til Silverlight, Adobe Flash og Java. Under analyser hos Kaspersky Lab var exploit-koden fuldt funktionsdygtig; men den leverede ikke nogen programmer, men det kan godt ændre sig i den nærmeste fremtid.
Anbefalinger for sikkerhed
- Husk, at du aldrig vil få officielle "ransom"-meddelelser fra politiet, så betal dem aldrig;
- Undlad at installere apps, du støder på, mens du surfer;
- Undlad at besøge websteder, du ikke stoler på;
- Brug en pålidelig antivirusløsning.